2020/04/02
DX時代のデジタルリスク
放置されているリスク
サイバー攻撃リスクの例を挙げると、IT部門が社員の利便性を高めるために、モバイルパソコンやスマートフォンなどさまざまなデバイスの導入を多様な方法(会社支給やBYODなど)で用意するのに対して、セキュリティー部門がそれら全てをカバーできないセキュリティー対策となってしまったり、コンプライアンス部門が社内制度の整備に追いつかなかったりするなど、組織間をまたがって認識されるべきリスクが生じているにもかかわらず、しばらくの間放置され、侵害されたときに初めて顕在化するという事態になっています。
このようなリスクの放置は、今世間を騒がせている新型コロナウイルス(執筆時点2020年3月21日)の影響で、多くの組織がリモートアクセスによる在宅勤務の実施を目指している中でも起こっていると考えられます。組織の中で、ユーザーがもっと俯瞰的に組織のデジタル基盤を見つめ、従業員がユーザーとしてセキュリティーのフィードバックをできれば、サイバー攻撃リスクを減らせる可能性が高いと考えられます。
ところが、日本ではセキュリティー人材の不足が懸念されています。KPMGコンサルティングとRSAが2019年に実施した統計調査によりますと、セキュリティー人材ならびにリテラシー(セキュリティーに対する知識)の不足について悩んでいる組織が多くあります。特にサイバーセキュリティー対策が進んでいない原因として、「知見のある実務担当者が足りない」「従業員の意識が低い」「人的リソースが不足している」がトップ3として挙げられ、人材不足が社会全体の課題となっています。欧米と比較すると、日本でセキュリティー知識のある人材は、ユーザー企業よりもITベンダー側に集まっている傾向があるようで、それも一要因なのかもしれません。これでは、組織のデジタル基盤を見つめ直したり、ユーザーとしてセキュリティーのフィードバックを返したりするのは難しいでしょう。

そのような人材不足の中、そしてサイロ化された組織の中で、サイバーリスクを低減するにはどうしたらよいでしょうか。
攻撃に対する素早い検知でリスク低減
サイバー攻撃リスクを低減するにあたり、日本では「サイバーセキュリティガイドライン」(2017年11月16日にVer2.0に改訂)が参考になります。サイバーセキュリティガイドラインには、サイバー攻撃の特定、防御、検知、対応、復旧を備えておくことが書かれています。日本の組織では、特定や防御といったいわゆる事前対策が進んでいると言われており、ファイアウォールやアンチウイルスの普及率は高くなっています。逆に、検知や復旧といった事後対応については遅れをとっており、組織外部からの指摘を受けてサイバー攻撃による被害が発覚しているケースが半数以上あるようです(*)。 サイロ化された組織が一体となってサイバー攻撃リスクに対峙していくには、サイバー攻撃に対する素早い検知で、ビジネスインパクトを示す(可視化する)ことが、各部門の知見や協力を得ることに、また次の対応や復旧につながっていきます。
素早く検知するには、組織内のデジタル基盤から抽出される情報(ネットワーク通信パケット、サーバのログ、パソコンでのユーザーの行動など)の多くを分析して、攻撃の兆候をつかむことが大事ですが、分析には人手を要することが多々あります。この人材不足の中、人を集めることが難しい上に、誰か特定の人に頼るという属人的な対応をしていると、セキュリティーレベルを保つことができません。よく、サイバーセキュリティーには、People(人)、Process(仕組み)、Technology(テクノロジー)が一体となって対策すると言われますが、人材を多くそろえることが難しい今、検知テクノロジーを活用し、対応の仕組み(自動化も含む)を確立することで、リスクの低減に努めていくことが肝要と思われます。
自組織のサイバー人材が不足している、あるいはサイロ化された部門間に見えない新たなリスクを発生させていると感じたら、まずはその見えないサイバーリスクを顕在化させる検知能力を高めることと、テクノロジーの活用で対応の自動化を進めることを検討されることをお勧めします。
(*)経済産業省 「サイバーセキュリティ経営ガイドラインの改定のポイント」(2019年11月16日)より
https://www.meti.go.jp/policy/netsecurity/downloadfiles/overview.pdf
- keyword
- デジタルトランスフォーメーション
- デジタルリスク
DX時代のデジタルリスクの他の記事
おすすめ記事
-
自社の危機管理の進捗管理表を公開
食品スーパーの西友では、危機管理の進捗を独自に制作したテンプレートで管理している。人事総務本部 リスク・コンプライアンス部リスクマネジメントダイレクターの村上邦彦氏らが中心となってつくったもので、現状の危機管理上の課題に対して、いつまでに誰が何をするのか、どこまで進んだのかが一目で確認できる。
2025/04/24
-
-
常識をくつがえす山火事世界各地で増える森林火災
2025年、日本各地で発生した大規模な山火事は、これまでの常識をくつがえした。山火事に詳しい日本大学の串田圭司教授は「かつてないほどの面積が燃え、被害が拡大した」と語る。なぜ、山火事は広がったのだろうか。
2025/04/23
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/04/22
-
帰宅困難者へ寄り添い安心を提供する
BCPを「非常時だけの取り組み」ととらえると、対策もコストも必要最小限になりがち。しかし「企業価値向上の取り組み」ととらえると、可能性は大きく広がります。西武鉄道は2025年度、災害直後に帰宅困難者・滞留者に駅のスペースを開放。立ち寄りサービスや一時待機場所を提供する「駅まちレジリエンス」プロジェクトを本格化します。
2025/04/21
-
-
大阪・関西万博 多難なスタート会場外のリスクにも注視
4月13日、大阪・関西万博が開幕した。約14万1000人が訪れた初日は、通信障害により入場チケットであるQRコード表示に手間取り、入場のために長蛇の列が続いた。インドなど5カ国のパビリオンは工事の遅れで未完成のまま。雨にも見舞われる、多難なスタートとなった。東京オリンピックに続くこの大規模イベントは、開催期間が半年間にもおよぶ。大阪・関西万博のリスクについて、テロ対策や危機管理が専門の板橋功氏に聞いた。
2025/04/15
-
BCMSで社会的供給責任を果たせる体制づくり能登半島地震を機に見直し図り新規訓練を導入
日本精工(東京都品川区、市井明俊代表執行役社長・CEO)は、2024年元日に発生した能登半島地震で、直接的な被害を受けたわけではない。しかし、増加した製品ニーズに応え、社会的供給責任を果たした。また、被害がなくとも明らかになった課題を直視し、対策を進めている。
2025/04/15
-
-
生コン・アスファルト工場の早期再稼働を支援
能登半島地震では、初動や支援における道路の重要性が再認識されました。寸断箇所の啓開にあたる建設業者の尽力はもちろんですが、その後の応急復旧には補修資材が欠かせません。大手プラントメーカーの日工は2025年度、取引先の生コン・アスファルト工場が資材供給を継続するための支援強化に乗り出します。
2025/04/14
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方