ポストコロナにおいて加速するクラウド移行と課題
コロナ禍において、企業の多くが、可能な限り、社員の在宅勤務を推進する中、それを実現するためにVPNの拡張や業務用の貸し出しパソコン設定、それらの施策にともなって発生する大小様々なセキュリティインシデントへの対応のために、社内の誰よりも現地に出勤しなければならなかったのは、情報システム部門とITセキュリティ部門の皆さんだったのではないか。
特にオンプレのシステム中心の企業では、自社でインフラを管理しているため、急激な環境変化への対応作業の負荷が高かったと考えられる。また、第二のコロナ禍に備えるためのみならず、新しい働き方の実現という目的で、大手SIを中心に緊急避難的な在宅勤務を定常化する動きやオフィスの削減などの施策が発表されており、今後は、企業におけるオンプレからクラウドへのシステム移行はますます加速するだろう。
しかし、クラウド移行は、利用するクラウドサービスのリスク管理や、クラウド上のデータの保護、オンプレとのポリシー整合など、新たなセキュリティ管理が必要となるため、情報システム部門の負荷が減る一方で、ITセキュリティ部門の負荷はむしろ増えているのではないかと考えられる。
DX推進による企業のセキュリティ管理対象範囲の拡大
DX推進は、このような「オンプレの社内システムのクラウド移行」といった情報システムだけの話ではない。それらを含むビジネスに関わるすべての変革を指している。ここでは、製造事業者を例にとって、DXを推進することによって、企業のセキュリティ管理範囲がどのように拡大しているのかを説明する。
一般的な製造事業者は、家電、産業機械、車載、化成品のような各事業分野に対応する事業部門を有しており、それぞれの事業部門に開発部門と、製品を製造する工場・プラント(OT ※1)がある(図1)。
図中の「IT」はメール・Webアクセス管理、業務管理などの情報システムを表しており、ITセキュリティ部門がセキュリティの主管となっている。また、図中の海外拠点(営業所・生産拠点など)も、WANで本社ITとネットワーク接続していることが多いため、ITセキュリティ部門の管理対象であるが、拠点内のセキュリティ管理は、現地法人任せになっている場合が多く、十分なガバナンスが効いているとはいえないことが多い。最近は、海外拠点の侵入をきっかけにサイバー攻撃の被害に遭う事案が増えている(※2)。
ひと昔前の製造業が管理すべきセキュリティ対象といえば、この「IT」と「海外拠点」がメインであり、経営層が、企業全体のセキュリティリスクを知りたければ、ITセキュリティ部門に聞けばよかった。しかし、DX推進やビジネス環境の変化にともない、そう簡単ではなくなってきている。
*GRC:Governance, Risk and Compliance
*PSIRT: Product Security Incident and Response Team(製品セキュリティ事故対応チーム)
- ※1 Operational Technology: 運用制御技術 (OTはITとの対比で制御システムの意で用いることが多い)
- ※2 昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました
