叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

DX化と情報セキュリティ対策

経済産業省が発信した「DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~」では、DX推進の必要性を「2025年の崖」という強い表現を用いて解説しています。

多くの経営者が、将来の成長、競争力強化のために、新たなデジタル技術を活用して新たなビジネス・モデルを創出・柔軟に改変するデジタル・トランスフォーメーション(=DX)の必要性について理解しているが・・・

  • 既存システムが、事業部門ごとに構築されて、全社横断的なデータ活用ができなかったり、過剰なカスタマイズがなされているなどにより、複雑化・ブラックボックス化
  • 経営者がDXを望んでも、データ活用のために上記のような既存システムの問題を解決し、そのためには業務自体の見直しも求められる中(=経営改革そのもの)、現場サイドの抵抗も大きく、いかにこれを実行するかが課題となっている

→ この課題を克服できない場合、DXが実現できないのみでなく、2025年以降、最大12兆円/年(現在の約3倍)の経済損失が生じる可能性(2025年の崖
「DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~」より

DX を進めるには既存のIT システムを抜本的に見直す必要があります。ただ、経営者にとってIT への投資を「コスト」と捉えると、抜本的な見直しはできないでしょう。なぜなら、コストと捉えた時点で、その費用を最小限に収めることが経営上の命題になるからです。

IT への投資はみらいの利益を最大化するために積極的に行うべきだ。

という発想の転換が必要です。

もちろん業界によってDX に向かない業界もあります。たとえば、介護、飲食、建設などの人的・肉体的な労働がメインの業界は、すべての労働をIT で担うのは無理です。

ただ、すかいらーくグループのように配膳をロボット化を進めていくような、DX 化に向けて先進的な取り組みをしていく企業もあります。業界によるDXの向き・不向きはあれど、個々の企業のIT 投資の戦略が、「2025年の崖」から転落するか、生き延びるかをわける分水嶺になるのでしょう。
www.j-cast.com

DX化は待ったなしの取り組みかもしれませんが、情報セキュリティの視点で見ると、DX 化は脅威を増す方向につながります。

そのことは認識する必要があると思います。

ISO/IEC 27001や P マークなど、公的なセキュリティ認証を受ける会社は多いのですが、そのために必要な情報セキュリティ対策は大きく4つに分類されます。

対 策 対策の例
物理的対策 入退室管理、記録媒体の流出防止策など
組織的対策 セキュリティ管理体制、規定の整備など
人的対策 情報取扱者へのセキュリティ教育・監視など
技術的対策 アクセス制御、認証・認可、侵入検知など

DX 化が進んでいない会社は、会社の機密情報や顧客情報は紙媒体で管理されていることが多いでしょう。その場合、とくに重要なのが物理的対策です。事務所への入退室管理を行い、特に機密情報を記載した文書は、立ち入りを制限する保管庫に整理するような対策が必要です。

DX 化を進めることで、機密情報がデジタル化されると、紙媒体の保管は省力化されますが、新たな脅威が、サイバー攻撃です。サイバー攻撃は世界のどこからでも行われます。セキュリティ対策の弱い拠点を狙った、サプライチェーン攻撃や、ランサムウェアによる金銭要求の脅しなど、攻撃は年を追うごとに深刻な課題になってます。

IT への積極的な投資を推進することは、情報セキュリティ対策への積極的な投資をすることと、表裏一体です。

わたしが注目しているのは金融業界のDX 化です。

金融関係のお仕事は、肉体労働ではありません。取り扱う商品も物理的なモノではないので、データ管理だけを考えれば、DX 化に向いている業界です。一方、金融で扱うデータは、顧客の金融資産です。これは、機密性が極めて高い情報です。堅牢な情報セキュリティ対策が要求されます。

金融機関を訪れるお客様のなかには、情報セキュリティの知識に乏しい人も多くいます。日本は超高齢化社会ですので、IT に弱い傾向のある高齢者も多数です。「セキュリティコードを入力してください」と、言われてもそれがなんのことかが分からない人も大勢います。

そこにガチガチな情報漏えい対策をすると、お客様がサービスを利用できない状況に陥るでしょう。金融会社は、機密情報の漏えいを絶対に防ぎながら、どのお客様にとっても利用しやすいサービスを提供するという、非常に高度な情報セキュリティの水準が要求されます。

すなわち、金融のDX化は、他の業界に比べ莫大すぎるコストがかかります。

簡単な事務処理でDX 化を進める金融会社は多いのですが、抜本的な改革に踏み切れていないと思います。