DX推進におけるセキュリティリスクとは？課題と対策のポイントを解説

1.DX化で高まるセキュリティ対策の重要性

はじめに、DX推進においてセキュリティ対策が不十分な場合に想定されるリスクについて解説します。

1-1.情報漏えいやサイバー攻撃による損失

　セキュリティ対策が不十分な場合、不正アクセスやマルウェア感染による個人情報漏えいや金銭的被害などが発生し、企業や顧客に損失をもたらす可能性があります。企業の信用問題に関わるうえ、事後対応のコスト負担が発生します。 

1-2.企業活動の遅延

　上記のような事態が発生した場合、処理に追われ、通常業務が困難となることが予測されます。企業活動の大きな遅れとなり、競争力の低下を招きかねません。

1-3.法的責任の問題

　企業は、個人情報保護法や情報セキュリティ基本方針などの法的要件に従うことが求められています。不備があったり適切な対策を講じなかったりした場合、法的責任を問われるおそれがあります。

1-4.企業イメージの低下

　情報漏えいやサイバー攻撃などのセキュリティ事件が発生した場合、企業の信頼性やブランド価値に影響を与えます。

これによって顧客離れやマーケットシェアの低下につながり、社会的信用が失われるおそれがあります。 

2.DX推進におけるセキュリティの課題

DX推進において考えられるセキュリティの課題としては、以下のようなものがあります。 

2-1.セキュリティ対策すべき範囲の拡大（社内外の境界がない）

2-2.サイバー攻撃の高度化・多様化

2-3.セキュリティ人材の不足

3.DX推進におけるセキュリティ対策のポイント

セキュリティ対策を実施する際に、押さえるべきポイントを解説します。 

3-1.経営層のリーダーシップによるセキュリティ対策の遂行

　デジタル技術の活用の進展にともない、従来とは異なる全社的なセキュリティ体制が必要となっています。

先に見てきたように、セキュリティリスクの存在は従来よりも幅広く、あらゆる角度からの対策が求められます。 全社的なセキュリティ体制の確立は、経営層のリーダーシップなくしては実現できません。 

3-2.DX時代に合わせた端末・ネットワークセキュリティの見直しと強化

　モバイルデバイスやIoT機器など、多様化する端末に即したセキュリティ施策を実施していきます。

具体的には以下のような方法があります。 

・リスクのある端末の排除 

・アップデートの徹底 

・OSおよびアプリケーション、ウイルス対策ソフトの一元管理 

・UTM(統合型脅威管理)の導入 

・外部からのメディア持ち込みの制限

3-3.最新動向の収集

　セキュリティの脅威は日々進化しており、その対策も常に最新の情報に基づいて行う必要があります。

日常的に流行、頻発しているサイバー攻撃の動向を押さえ、使用しているOSや機器類の脆弱性に関する情報を集めなければなりません。

　脅威に対して講じるべき対応を検討し、法制度やガイドラインに関する情報のチェックも必要です。 

3-4.セキュリティ人材の確保、育成

　セキュリティ対策の中核を担う人材の確保は、非常に厳しい状況にあります。

セキュリティ人材を獲得するにあたり、社内・社外双方に目を向けた登用が必要です。

社内人材からの転用 

・リスクマネジメントや経営管理に関する業務経験を有する人材の配置転換および育成 

・ITの管理・運用に関する業務経験を有する人材の配置転換および育成 

社外人材の採用 

・セキュリティ対策関連の業務経験者の採用 

・セキュリティを専門とする教育機関を修了した人材の新卒採用 

・兼業・副業従事者の活用 

「DX人材」について詳しく知りたい方はこちらの記事をご参考にしてください。  

DX人材とは？求められる役割や必要とされる理由、人材確保の方法  

3-5.社員のセキュリティリテラシーの向上

　社員がセキュリティに関する知識やスキルを持っているかどうかによって、日々の業務のなかでのリスク管理に大きな差が生じます。

全社的なセキュリティ対策に向け、以下のような施策を検討していく必要があります。

・教育・訓練機会の提供 

一般社員を含め、リスクや脅威についての理解を深めながら、正しいセキュリティ対策を実践できるように図ります。 

・模擬による実践経験 

社員に対するフィッシング攻撃・サーバー攻撃・ウイルスメールの模擬を実施するなどして、緊急時に備えます。

・セキュリティ管理の強化 

社員に対し、パスワードの作成方法や管理方法の指導を行い、管理を強化します。セキュリティポリシーを策定し、社員に周知徹底を図ることも大切です。 

・状態の把握 

定期的に社員のセキュリティリテラシーをチェックし、必要な施策を実施します。 

3-6.監視体制の整備

　セキュリティリスクの評価や第三者視点での脆弱性診断の実施、侵入検知・防御システムの導入、セキュリティ監視の強化や必要に応じた見直しを行い、全社的な監視体制を整備します。 

4.実際にあったセキュリティインシデントの事案

IPAの「情報セキュリティ10大脅威 2023」を参考に、企業が実際に受けた被害を紹介します。

4-1.ランサムウェアによる被害：ウイルス（ランサムウェア）に感染させて金銭を要求

　2022年3月、システムの脆弱性を悪用してランサムウェアを配置するという事例が発生しました。 この手口ではActive Directoryを管理するためのウェブサービスにリバースプロキシサーバー経由でアクセスされ、ウェブサービスの脆弱性を悪用されてADサーバーに侵入されました。 

その後、ランサムウェアを自動で配布するバッチファイルを設定され、組織内の機器がランサムウェアに感染し、被害が拡大しています。 

4-2.サプライチェーンの弱点を悪用した攻撃

　2022年3月、トヨタ自動車が小島プレス工業のシステム障害により、国内全工場の停止を余儀なくされました。

システム障害は小島プレス工業の子会社の社内ネットワークを介して同社の社内ネットワークに侵入され、ランサムウェア攻撃を受けたことによるものであったことがわかりました。 

4-3.標的型攻撃による機密情報の窃取

　メールやウェブサイトからウイルスに感染させる例も報告されています。

2022年6月に、シンクタンクへの標的型メール攻撃があったことを警察庁が公開。メールには個人情報の圧縮ファイルが添付されており、データの代行登録を依頼するという、業務に関連した内容であったとのことです。

4-4.内部不正による情報漏えい

　寿司チェーンで知られるカッパ・クリエイトでは、社長が不正競争防止法違反の疑いで警視庁に逮捕されました。

同社長は2020年11月にライバル企業から転職し、元部下を利用して商品原価等の営業秘密を持ち出しました。転職先の商品企画部長はデータを不正利用した疑いで、また転職元の元部下はデータのパスワードを漏えいしたとして共に逮捕されています。

4-5.テレワーク等のニューノーマルな働き方を狙った攻撃

　2022年6月、ニチリンの米国子会社がランサムウェア「mlock」に感染していたことを公表しています。

攻撃者は外部とのリモート接続における設定の脆弱性を悪用し、サーバーに侵入しました。侵入後、別のサーバーにリモートアクセスツールなどをインストールし、ネットワークを偵察。その後、ネットワーク全体にランサムウェアを配布していたことがわかりました。

5.セキュリティ対策への意識を強化しながらDXを進めましょう

　企業DXは今後の継続的な安定経営に向け、必要不可欠となる取り組みです。

　しかし、セキュリティへの意識が十分でないまま最新技術の導入にのみ気を取られていると、思わぬリスクを被るおそれもあります。

DXの成果を確実に得ていくためにも、自社のセキュリティ体制の強化や見直しも同時に行いましょう。 

　サン・エム・システムでは、DX推進に必要なセキュリティ対策についてきめ細やかなアドバイスを行っています。頼れるパートナーをお探しの際には、ぜひご活用ください。 

サイバーセキュリティサービス 

弊社では、DXに課題をお持ちの企業様に向けてDXアドバイザーサービスを提供しております。

DXに取り組みたいけど、どうすればいいか迷っている、時間が無くて困っているなどのお悩みの方はぜひサービスサイトをご確認ください。