「経営者がDX推進と両輪で考慮すべきサイバーセキュリティ」
- 【講演者】
- PwCあらた有限責任監査法人
ディレクター
小林 由昌 氏
<DXの進展 ~“デジタル技術”を前提としたエコシステム~>
「金融DX」と呼ばれるように、金融業界においてもDXが進んでいる。デジタル技術の進展あるいは多様な働き方が急速に広まっており、金融業界もデジタルを推進しないという手はない。デジタル技術の活用は主にはクラウド利用の拡大、リモートワークの普及、データ利活用と外部接続の3つで構成される。
<DXの進展による変化1.クラウド利用の拡大>
1つ目の要素であるクラウド利用に関して、総務省の「令和3年通信利用動向調査」によると、「クラウドサービスを利用している」と回答した銀行・保険業の割合は89.1%だ。この数字は情報通信産業に次ぎ、第2位である。業務効率化やビッグデータ解析、UX/CXの向上のためにはクラウド活用が優位性を持つ。金融分野においてはコミュニケーションツールや情報系システムを中心に利用が拡大した。一部の金融機関においては、基幹システムをパブリッククラウドで実装する事例も出てきている。一方DXの進展による変化としては、クラウドの利用により境界外部に配置された守るべき資産が増加していることや、認証ポイントの分散によるID管理やアクセス管理の複雑化が挙げられる。
<DXの進展による変化2.リモートワークの普及>
前述の総務省調査によると、「テレワークを導入している」と回答した金融機関の割合は82.4%だ。労働人口減少社会においてリモートワーク環境の整備と柔軟な活用は、ミレニアル世代以降の優秀な人材の確保において前提条件になっており、多様な接続技術・方式によりリモートワーク環境が整備されている。一方で端末・ネットワークのセキュリティ、マルウェア感染、情報漏えい、不正アクセス等のリモートアクセスに関するセキュリティリスクが増加している。またリモート接続のための機器(VPN等)の脆弱性に対するサイバー攻撃の増加も顕著となっている。
<DXの進展による変化3.外部とのデータ連携機会の増加>
前述の同調査では、ビジネスにおいて個人データを「積極的に活用している」「ある程度活用している」と回答した金融機関の割合は62.3%で調査対象産業中1位だ。また、個人データを「積極的に活用している」「ある程度活用している」と回答した金融機関のうち、52.7%は個人データを「新規事業や新ビジネスモデルの創出のために自社内で活用」、5.5%は「他社へのデータ提供に活用」している。企業システムの外部連携増加と共にITシステムが複雑化しており、外部からのサイバー攻撃を受ける可能性のあるアタックサーフェースが増加しているのも懸念事項となっている。
<DX進展によるサイバーリスクの増加>
DXの推進は非常に多くのメリットがある反面、守るべき範囲が拡大している。従来はオフィスやデータセンターといわれる組織の中を対象としていたが、近年はクラウド、モバイル、テレワーク環境、業務提携先等も含まれ、攻撃者視点でのアタックサーフェースが増えている。また、サイバー攻撃者についても変化があり、攻撃者のプロ化、マルウェア開発サービス、ダークウェブの台頭等、サイバー犯罪のエコシステムが構築され、サイバー攻撃も高度化・巧妙化している。境界外でのIT資産の増加により、それら資産を守る人材が質・量の面で不足している。また、セキュリティ対策やセキュリティ運用の遅れや、人材の疲弊等による人的ミスの増加にも繋がりうることもあり、企業はデジタルトラストの確保が困難になりつつある。
PwCが実施した「第25回世界CEO意識調査」によると、日本のCEOが脅威と捉えていることの第1位は「健康リスク」で、第2位が「サイバーリスクだ。一方で世界全体でのCEOが考える脅威の第1位は「サイバーリスク」となっており、サイバーリスクが経営に与える被害の大きさを、世界中のCEOが認識していることを示している。また同調査で各インシデントが2021年と比べて2022年にどのように変化するかを聴取したところ、58%の経営者がクラウドサービスへの攻撃が「増加」または「大幅に増加」するだろうと回答した。脅威の起点としてモバイル、IoT、クラウドサービスプロバイダーを挙げる回答が多く、対策が急務となっている。
出典: PwC 第25回世界CEO意識調査(2021年10月~11月調査実施)<DX時代のセキュリティコンセプト>
DXの進展の中で、重要なのセキュリティのコンセプトが2つある。1つ目は「ゼロトラスト」で、2つ目は「サイバーハイジーン」だ。いずれもデジタルトラストを下支えするもので、前者は2021年6月に、後者は2022年2月に金融庁からレポートや取組方針が公開されている。これらDX時代のセキュリティコンセプトは経営者が正しく理解し、取り入れなければならない。
出典: 2021年6月金融ゼロトラストの現状調査と事例分析に関する調査報告書庁委託調査出典: 2022年2月金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)
<ゼロトラスト>
従来の防御は境界防御が中心であったが、DX推進により様々なリソースが自社のシステムにアクセスし、自社のシステムも境界の外側へアクセスするようになった。そのため、アクセス元となるデバイスとITシステムの間にアクセスを決定する機構を設け、アクセス要求に対して多様な情報を活用して都度アクセスの信頼性を検証し、認証・認可を行う。従来はIDやパスワードで認証していたが、端末のパッチが最新バージョンか、IPアドレスが国内か海外か、といった情報も活用し、総合的にリスクを判断してアクセスを許可する。つまり、暗黙的に信頼する領域を最小化し、その都度認証・認可をしていくのがゼロトラストのコンセプトだ。
PwCが2021年に国内企業に対して行った調査によると、ゼロトラストから得られた効果として最も多かった回答は「DXの推進・多様な働き方の実現」だった。この結果からも、ゼロトラストの採用が、DX時代におけるアーキテクチャの採用に繋がっていることが伺える。
全ての金融機関がゼロトラスト・アーキテクチャーを求められるのかと言えば、必ずしもそうではないと考える。NIST SP800-207におけるゼロトラストの7つの原則を参照すると、ゼロトラスト・アーキテクチャーそのものへ移行せずとも、DXと親和性の高い要素を既存環境に取り入れながらセキュリティを強化することが可能だ。例えばネットワークの場所に関係なく全ての通信を保護する、企業リソースへのアクセスはセッション単位で付与する、全ての資産の整合性とセキュリティ動作を監視し測定するといったことからもセキュリティを強化することができる。
<サイバーハイジーン>
「ハイジーン」とはコロナ禍でよく聞かれるようになった言葉である。フィジカルのハイジーンは、身体の対処療法ではなく、身体の内部自体の健康=衛生性を確保することを意味する。一方、「サイバーハイジーン」とは、セキュリティの基礎を整備しシステムの免疫力を高めることである。サイバー攻撃に備え、システムや機器のセキュリティ実装・設定のハードニングを行い堅牢な状態を保ちながら、システム・機器群の基本的なセキュリティをきめ細かく実装・設定し、日々習慣化することが重要だ。
サイバーハイジーンはあらゆる環境で実践することが大事である。クラウドとオンプレミス環境をハイブリッドに活用する企業はこれまで以上に多層防御への意識を高めることが求められる。境界防御や特定のセキュリティ製品のみへの依存では、対策は十分とは言えない。
サイバーハイジーンは地味ではあるが、コツコツと実践し、組織に浸透した取り組みとしていくことが肝要だ。文化としてセキュリティやセキュア開発サイクルの醸成に寄与することで、社員がセキュリティに対する意識を高め、過度なセキュリティ製品導入コストをかけずとも、インフラのサイバー攻撃耐性を向上できるというメリットがある。
<まとめ>
経営者は、前述した有益なセキュリティコンセプトも取り入れながら、明確で曖昧さのない「デジタルトラストの基本原則」を社内外に示すべきである。DXを推進し、真にデジタル時代のビジネスを持続的に成長させるためには、サイバー
セキュリティ、プライバシー、データの安全性、信頼性といった「デジタルトラスト」を実現できる企業であり続ける必要がある。