激しい変化に対応して競争力強化へ DX推進に欠かせない6つのポイント

生成AIをはじめとするテクノロジーの急速な進化により、ビジネス環境が大きく変化する今、企業や組織にとってデジタルトランスフォーメーション(DX)はますます欠かせないものになっている。一方、DX に取り組むものの、想定通りに推進できない企業も少なくない。DX に焦点を当てた「日本全国 6都市 JAPAN DX Conference」の中でも、各都市で行われた独立行政法人情報処理推進機構(IPA)の講演に注目し、様々な側面からDX 推進のヒントを探る。

デジタル空間でも「防犯」は当たり前 中小企業は情報セキュリティの基本をしっかり

「デジタル技術の活用推進には、光と影の部分があります」と語るのは、IPAのセキュリティセンターで普及啓発・振興部のシニアエキスパートを務める横山尚人氏である。ビジネスの主戦場がリアルから離れつつある今、積極的なデジタル活用が求められる一方で、影の部分にも気をつける必要があると指摘する。

情報セキュリティ対策は、リアルで実践していた防犯をデジタルの世界でも講じることである。「社内ネットワークは、ネットワーク空間にオフィスを作っていると言えます。サーバーにはデータ、すなわち書類を収めています。Webサイトは24時間365日世界中に門戸を開いているショールームで、ECサイトはお店そのものです。世界中に向けて無人でお店を開いていたら、防犯しない選択肢はないことがおわかりいただけるでしょう」(横山氏)。中小企業の経営者の中には、「セキュリティは必要か?」と疑問を持つケースも少なくない。しかし、仕事をデジタル化したら、情報セキュリティ対策は「防犯」そのものだと考えてほしいと、横山氏は強調する。

横山氏はこんな例え話をする。「紙の書類や現金の取り扱いが中心の時代でも、オフィスや工場は戸締まりをして、書類はきちんと保管していました。少し大きな工場なら警備員などが人の出入りや手荷物のチェックをすることもあります。防犯カメラや侵入者を検知するセンサーを用意する場合もあるでしょう」

横山尚人氏

独立行政法人情報処理推進機構

セキュリティセンター普及啓発・振興部

シニアエキスパート

横山尚人

多くのサイバー脅威の手口は似通っている

IPAは、毎年「情報セキュリティ10大脅威」を公表している。2024年版では、「ランサムウェアによる被害」が4年連続で1位になった。2位以下には「サプライチェーンの弱点を悪用した攻撃」「内部不正による情報漏えいなどの被害」「標的型攻撃による機密情報の窃取」が並ぶ。「内部不正は近年順位を上げてきました。一方で、1位と2位、4位に関しては、ランサムウェアを使ったサプライチェーン攻撃、標的型攻撃が増えており、それぞれの脅威はつながっていると考えられます」(横山氏)

この状況で求められる対策は何か。横山氏は、「脅威となる攻撃の種類は多数ありますが、その手口は似通っています。対策としては情報セキュリティの基本を押さえることが重要です」と語る。そのポイントは以下の5点となる。

  • ソフトウェアの脆弱性を残さないで侵入を防ぐ
  • セキュリティソフトを活用してウイルス感染を防ぐ
  • パスワードの管理と認証の強化
  • 設定の不備を見直して、攻撃に利用されないようにする
  • 攻撃者の脅威や手口を知って対策を理解する

さらに、最近ではクラウドサービスの利用が一般的になっていることから、クラウド利用についてのインシデント全般の理解、クラウドが停止した場合の代替策の準備、クラウドの仕様変更による設定不備が原因の情報漏えいや攻撃などへの対策――が求められる。

とはいえ、特に中小企業では一足飛びにすべての対策を施すことは難しい。横山氏は、「中小企業の皆さんには、基本的な部分やできるところから着実に対策を施していくことが大切だとお伝えしています。その中で、リスクがどこまであり、自社でどこまで対策が必要なのかなどを、段階的に考えてください」と提言する。

IPAのツール・制度を活用してセキュリティを強化

IPAでは主に中小企業に向けて、平時の備えからインシデント発生後の対応や復旧支援までをカバーするツールや制度を用意している。横山氏は、「これらのツールを生かして、社員の皆さんの意識向上に取り組んでほしい」と語る。

IPAが提供する中小企業向けのセキュリティ対策ツールと制度

IPAが提供する中小企業向けのセキュリティ対策ツールと制度

平時の対策支援としては、「中小企業の情報セキュリティ対策ガイドライン」や「SECURITY ACTION」がある。前者のガイドラインは、中小企業が情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順を示したもので、無料で活用できる。後者のSECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度で、2段階の目標を用意している。「約33万社の中小企業に宣言してもらいました。それでも全国の中小企業の1割程度です。もっと多くの中小企業に宣言をしていただきたいと思います」(横山氏)

有事の対策支援としては、「サイバーセキュリティお助け隊」制度を展開している。「相談を受け付ける窓口や、ネットワークや端末の24時間体制での監視、緊急時の駆けつけ支援など、多くのサービスを中小企業でも導入、維持しやすい料金で提供する民間サービスの登録制度です」(横山氏)。IPAのこうしたツールや制度で、デジタル化が進む世界の「防犯」の第一歩を踏み出してもらいたい。