目次
目次
目次inpage
データセキュリティーリスクの高まり
個客データをはじめとしたデータの高度活用によって収益化を図る「データマネタイズ」が注目される中、メディアやネット上では“データは新しい石油”との表現も見られます。確かに、利益創出のポテンシャルの高さという面では似ているかもしれません。しかし、データは物理的な石油田とは異なり、おいしいものを吸い取る蚊のように、気付かないうちに価値あるデータを取られるリスクを秘めており、データセキュリティーリスクへの対策は極めて重大かつ深刻な課題となっています。
私は昨年、日本タタ・コンサルタンシー・サービシズ(日本TCS)のチーフデリバリーオフィサーに任命され、現在、日本TCSにおけるデリバリー全体の責任を持ち、さらなるハイブリッドモデルの成長とソリューショニングの充実を推進しています。本稿では、タタコンサルタンシーサービシズ(TCS)におけるサイバーセキュリティー分野のグローバルヘッドとして、多くのグローバル企業のコンサルティングを手掛ける中で培ってきた知識や経験を基に、データ活用に潜むセキュリティーリスクと、そのリスクをいかにして軽減できるかについて解説します。
近年、さまざまなビジネスにおいてデジタライゼーションが進展し、実空間とサイバー空間の融合がますます進む中、サイバーセキュリティーに関するリスクは急激に高まっています。中でも、多くのレガシーシステムが存在する中、企業が社内のシステムに収集・蓄積した膨大なデータの流出・漏えいなどに対するリスクは深刻です。国境を越えた当局の規制への対応等、顧客の個人情報などを含んだデータの流出・漏えいは、顧客にとってだけでなく、データを収集・活用する企業にとっても大きなリスクとなります。
例えば、企業がWebサイトやSNSなどに展開した「Cookie」を通じて取得する、消費者のサイト閲覧履歴などのデータは、マーケティングやセールス、さらには新商品の開発などに大きな価値をもたらします。しかし、消費者からすれば、自身の購買行動はもちろん、趣味嗜好や政治信条なども含めたプライバシーが筒抜けになってしまうリスクがあり、データを取得した以上は知らなかったで済まされるものではありません。
消費者にとってのリスクの大きさは、そのままデータを扱う企業にとってのリスクの大きさに直結します。万一、これらのデータが流出・漏えいした場合、どれだけ消費者の不安や怒りを招き、企業の社会的信頼性が失墜するかは、近年の幾つかの例を見ても明らかでしょう。
データセキュリティーリスクへの対策はグローバル規模の課題
こうしたデータセキュリティーに関するリスクをいかに低減するかが、近年、グローバル規模での重要な課題となっています。先に述べた当局の規制については、EUでは2018年5月からGDPR(General Data Protection Regulation:一般データ保護規則)が施行され、米国でも2020年1月からCCPA(California Consumer Privacy Act:カリフォルニア州消費者個人情報保護法)が施行されています。これらはいずれも、個人情報を含めたデータを取り扱う企業に対して、データ保護のための適切な対策を取ることを求めるものです。
TCSが北米および欧州における11業界1,010社の最高情報責任者(CIO :Chief Information Officer)を含むIT担当役員を対象に実施した2020年CIO調査(TCS 2020 CIO Study)によると、「インターネット上での自社の製品・サービスに対する顧客の発言などのデータ」については7割以上、「顧客が自社の製品・サービスをいかに知ったかに関するデータ」については6割以上が「非常に重要/かなり重要」と捉えていることがわかりました。にもかかわらず、同調査によれば、データセキュリティーリスクについて具体的な対策を講じている企業はわずか3分の1程度でしかありません。リスクの大きさに対し、明らかに対策が不十分な現状が見て取れます。
日本企業がデータセキュリティーリスク対策を急ぐべき理由
データセキュリティーリスクの高まりは、日本企業にとっても決して“対岸の火事”ではありません。GDPRはEUの規制ですが、EU加盟国に籍を置く企業だけでなく、EU域内でビジネスを展開する企業全てが対象となり、ネット販売などを通じてEU圏内のユーザーのデータを取得している場合も対象となります。つまり、グローバルビジネスを展開する日本企業に対しても、EUや米国の基準に即したデータ管理が求められるのです。
加えて、在宅勤務を行う企業が増え、リモートワークが拡大する中、日本企業のセキュリティーリスクがさらに高まっていることも理解すべきです。日本企業には、知的財産権の対象となり得るような価値あるデータが豊富に蓄積されていて、世界中のハッカーからターゲットとされてきましたが、近年のハッカーの狙いは経済的利益だけではありません。敵対国や敵対組織からのサイバー攻撃やサイバーテロ、あるいは技術力を誇示したいだけの愉快犯なども含め、多くのハッカーが日本企業のITレピュテーション(信用・評価)を下げようと狙っています。
実際、ここ数年の間に、日本を代表する企業がサイバー攻撃を受けたとのニュースが幾度となく報じられています。例えば、2018年にはインターネットに接続するためのルーターの設定が外部から勝手に書き換えられ、不正サイトに誘導されるというサイバー攻撃が複数社で相次ぎました。さらに今年に入ってからも大手メーカーの社内サーバーが長期にわたり不正アクセスを受けていたことが報じられました。いずれも日本の産業社会にとって深刻なインシデントでしたが、それでも“氷山の一角”にすぎないかもしれません。サイバー攻撃の被害に気付くまでの平均リードタイムは約8カ月とされていて、すでにサイバー攻撃を受けながら、まだ気付いていない企業があっても不思議ではないからです。
これらの例からも、世界が日本に注目する中、データセキュリティーリスクがこれまでになく高まっているといえるでしょう。業界や業態、扱っているデータの種類を問わず、あらゆる日本企業がこのリスクを意識し、対策に取り組むことが急務といえます。
データセキュリティー対策の基本的な考え方
日本企業の間でも、ここ数年の間に、グローバル企業を中心にデータセキュリティーリスクに対する意識が高まってきていると感じています。とはいえ、日本企業で専任の最高情報セキュリティー責任者(CISO:Chief Information Security Officer)を置いているのは15~20%程度にすぎません。欧米企業と比較すれば、体制整備という面ではまだまだだと言わざるを得ません。データセキュリティーリスクが高まる中、日本企業がまず取り組むべきは、CISOの設置など体制面の強化とともに、データセキュリティー対策をIT部門だけの課題としてではなく、会社全体の重要課題として認識することでしょう。
デジタルトランスフォーメーションの進展に伴い、あらゆる企業活動をITシステムが支えていますが、その全てがハッカーからの攻撃対象となり得ます。特に日本企業のシステムは、カスタマイズされたレガシーシステムが多く、脆弱性が検証されないままのシステムが利用され、リスク自体に気付いていないことも少なくありません。
また、システム上のセキュリティー対策が万全だったとしても、システムを扱う従業員のリスク意識が低ければ意味がありません。セキュリティーインシデントの90%はメールを介しているとのデータが示すように、データセキュリティー最大の弱点は“人の意識”です。まずは全ての従業員がリスク意識を高め、「信頼できないソースからのメールの添付ファイルを開けない、リンクをクリックしない」「OSやアプリケーションは公式ライセンスを使用する」「適切なセキュリティー対策プログラムの最新バージョンを実行する」といった、サイバー衛生の基本を身に付けることが何より重要です。
データセキュリティー対策を進める三つのステップ
従業員個々の対策を徹底する一方で、全社的な対策を進める必要もあります。ただし、企業内にある全てのシステムに対し、均等にハイレベルな対策を講じるのは、コスト面でも労力面でも非効率です。以下のような三つのステップでデータセキュリティーリスクを評価・特定し、重点的かつ継続的な対策を講じることがポイントとなります。
ステップ1:カテゴライズ&優先順位の検討
最初のステップは、企業が社内のシステム内に蓄積する膨大かつ多種多様なデータの中から、優先的に守らねばならないものを特定することです。顧客情報、製品情報、技術情報、財務情報、従業員情報など、データをカテゴライズして、それぞれの価値とリスクを評価。ハッカーなどにとって魅力的なデータはどれか、流出・漏えいした際の影響が大きいデータはどれかなどを検討し、保護すべき重要な資産を特定します。
ステップ2:戦略策定
優先的に守るべきデータが特定できれば、そのデータがどのような手法や経路で攻撃されるかを把握し、対策を検討します。守るべき情報がどのシステムに蓄積されているか、そのシステムは誰に公開され、誰がアクセスできるのか、ハッカーの想定攻撃経路を明確にしていくことで、具体的な対策を練ることが可能になります。
この際、効果的な対策として推奨できるのが、データに至る経路に層状の防御壁を設けることです。第1層はネットワーク、第2層はインフラ、第3層はWebサーバー、第4層はアプリケーションと、何層にもわたる多層防御策を講じれば、ハッカーは狙うデータに到達するまでに疲弊し、ほかのターゲットへと標的を変える可能性が高まります。
ステップ3:評価を続ける
優先的に守るべきデータを特定し、そこに至る層状の防御陣を構築すれば、当面のリスクは低減できますが、それは一時的なものにすぎません。企業のビジネスモデルやスケールは常に変動していて、それに伴いリスクの内容や程度も変化します。また、サイバー攻撃の技術も日々、多様化・高度化を続けています。データセキュリティーリスクを許容範囲内に収めるためには、環境や自社の変化を把握しながら、常にその時点でのリスクや対策を評価し続けるという姿勢が不可欠です。
データセキュリティーリスク対策の次なるステップに向けたサポート
ここまで、データセキュリティーに関するリスクを述べ、皆さんを不安にさせてしまったかもしれませんが、データの重要性・可能性を認識するとともに、リスクを洗い出し、適切な対応をすれば過度に不安になる必要はありません。データセキュリティーリスクへの取り組みは、いわば「保険商品」のようなものです。リスクをゼロにすることはできなくとも、万一の際の被害を最小限に抑えることができます。まずは自身が抱えるリスクの内容や大きさを正しく認識し、耐え得るリスクの範囲や適切な投資額を見極めながら、どのような対策を取るかを検討すべきでしょう。
保険との類似点をもう一つ挙げるなら、実際に被害に遭わない限りは、対策の良しあしを評価することが難しい点です。とはいえ、事前に緻密なシミュレーションを行い、実際にサイバー攻撃を受けた際に各種の対策がどう機能するかを確認し、評価することが大切です。
データセキュリティーリスクの可視化も、セキュリティー対策を評価するためのシミュレーションも、実行するには専門的な知識とノウハウが必要になります。自社で全てを抱え込むよりも、外部の専門家を活用すべきでしょう。
日本TCSは、データセキュリティーを含めたサイバーセキュリティー全般に関するグローバルの豊富な知識と経験を生かし、こうしたプロセスのトータルなサポートをご提供しています。すでに必要なデータセキュリティー対策が完了しているのであれば、日本TCSによるサイバー攻撃の評価を受けることで、弱点の有無や改善点などが検証できます。また、「どんなリスクがあるかわからない」「どこから着手すべきか?」と感じていたり、対策を検討中であれば、前述した三つのステップに基づきスピーディーな対策立案をご支援します。
これを機に、データセキュリティーリスクの深刻さや、その対策の重要性を、改めて意識していただき、価値あるデータを有効に活用していただきたいと思います。
※掲載内容は2020年5月時点のものです。
関連情報
お問合せ
お問合せ