SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

いまこそ変わるITセキュリティ部門

「部署が違うので自分にはあまり関係ない」は通用しない ポストコロナにおけるDXとセキュリティの関係

 ポストコロナの時代は、企業のIT資産のクラウド化、業務のリモート化など、パンデミック環境下においても事業を継続するための変革が急速に進むと考えられる。コロナ禍以前は、DX推進や働き方改革の掛け声はあったものの、旧来文化からの脱却ができなかった日本企業が、組織文化・システムアーキテクチャ両面における変革を急ピッチで推進しようとしている。このようなビジネス環境において、企業のDXを支え、変化の早い時代に生き残るための鍵を握るのは、実はITセキュリティ部門なのではないかと考える。本連載は、なぜDX推進においてITセキュリティ部門が重要なのか、また、今後、企業の中でどのような役割を果たすべきなのかを示すことで、ITセキュリティ部門の皆さんの具体的なアクションの参考にしていただくことを目的としている。

ポストコロナにおいて加速するクラウド移行と課題

 コロナ禍において、企業の多くが、可能な限り、社員の在宅勤務を推進する中、それを実現するためにVPNの拡張や業務用の貸し出しパソコン設定、それらの施策にともなって発生する大小様々なセキュリティインシデントへの対応のために、社内の誰よりも現地に出勤しなければならなかったのは、情報システム部門とITセキュリティ部門の皆さんだったのではないか。

 特にオンプレのシステム中心の企業では、自社でインフラを管理しているため、急激な環境変化への対応作業の負荷が高かったと考えられる。また、第二のコロナ禍に備えるためのみならず、新しい働き方の実現という目的で、大手SIを中心に緊急避難的な在宅勤務を定常化する動きやオフィスの削減などの施策が発表されており、今後は、企業におけるオンプレからクラウドへのシステム移行はますます加速するだろう。

 しかし、クラウド移行は、利用するクラウドサービスのリスク管理や、クラウド上のデータの保護、オンプレとのポリシー整合など、新たなセキュリティ管理が必要となるため、情報システム部門の負荷が減る一方で、ITセキュリティ部門の負荷はむしろ増えているのではないかと考えられる。

DX推進による企業のセキュリティ管理対象範囲の拡大

 DX推進は、このような「オンプレの社内システムのクラウド移行」といった情報システムだけの話ではない。それらを含むビジネスに関わるすべての変革を指している。ここでは、製造事業者を例にとって、DXを推進することによって、企業のセキュリティ管理範囲がどのように拡大しているのかを説明する。

 一般的な製造事業者は、家電、産業機械、車載、化成品のような各事業分野に対応する事業部門を有しており、それぞれの事業部門に開発部門と、製品を製造する工場・プラント(OT ※1)がある(図1)。

 図中の「IT」はメール・Webアクセス管理、業務管理などの情報システムを表しており、ITセキュリティ部門がセキュリティの主管となっている。また、図中の海外拠点(営業所・生産拠点など)も、WANで本社ITとネットワーク接続していることが多いため、ITセキュリティ部門の管理対象であるが、拠点内のセキュリティ管理は、現地法人任せになっている場合が多く、十分なガバナンスが効いているとはいえないことが多い。最近は、海外拠点の侵入をきっかけにサイバー攻撃の被害に遭う事案が増えている(※2)。

  ひと昔前の製造業が管理すべきセキュリティ対象といえば、この「IT」と「海外拠点」がメインであり、経営層が、企業全体のセキュリティリスクを知りたければ、ITセキュリティ部門に聞けばよかった。しかし、DX推進やビジネス環境の変化にともない、そう簡単ではなくなってきている。

図1:DX推進にともなう製造業のセキュリティ管理対象範囲の拡大*GRC:Governance, Risk and Compliance,*PSIRT: Product Security Incident and Response Team(製品セキュリティ事故対応チーム
図1:DX推進にともなう製造業のセキュリティ管理対象範囲の拡大(クリックすると拡大)
*GRC:Governance, Risk and Compliance
*PSIRT: Product Security Incident and Response Team(製品セキュリティ事故対応チーム)

次のページ
つながることで生まれる新たなセキュリティリスク

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
いまこそ変わるITセキュリティ部門連載記事一覧

もっと読む

この記事の著者

佐々木 弘志(ササキ ヒロシ)

マカフィー株式会社 サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13268 2020/07/31 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング