SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

定期誌

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

ITプロジェクト推進者のためのベンダーマネジメント講座
新エバンジェリスト養成講座

講座一覧はコチラから

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

バックナンバーはこちら

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

最新号を読む

Security Online Day 2024 春の陣レポート

「15分だけでも机上演習を」IT/OTセキュリティの格差広がる、IPA青山氏が求めるレジリエンス強化

重要インフラのサイバーレジリエンス強化に向けた戦略

 サイバー攻撃への対策は、発生の抑止を中心とした考え方から「レジリエンス(回復力)」へと変化している。それは、組織がサイバー攻撃に直面した際、迅速かつ柔軟に回復する能力、そして“インシデントから学ぶ”力のことだ。IPA(情報処理推進機構)産業サイバーセキュリティセンター(ICSCoE)専門委員であり、名古屋工業大学で客員助教を務める青山友美氏は「概念を理解し、セキュリティ戦略に取り入れる必要がある」と語る。そのために有効とされる、机上演習の活用、社内外のセキュリティ・ステークホルダーとの連携について紹介した。

DX時代に求められるセキュリティ

 近年よく聞かれるようになった「レジリエンス」。日本語では強靭性、弾力性、柔軟性などと訳されるが、要は「状況に柔軟に対応し、継続可能な状態に戻る力」のことだ。特に「サイバーレジリエンス」といえば、「予期しない事象に対処する力=対処能力」を意味することも多いが、「変化を捉える力=監視能力」「何が起こり得るのか予測する力=予測力」「過去から学び、改善する力=学習力」といった能力も求められると青山氏は指摘する。

 では、どうすればこれらの能力を高め、レジリエンス力を高めていくことができるのか。手始めにDX時代にサイバーリスクがどのように変化し、どのようなセキュリティが求められているのかを把握することが大切だろう。

 下図の2020年の調査結果[1]では、ヒヤリハットを含めて「情報漏えいが少なくとも一度は発生している」と答える組織が82%もあった。DXによってサイバーリスクがより顕在化しつつあることが伺える。そして、DXによりサプライチェーンなど社外システムとの依存性が高まっているにも関わらず、「社外システムに対するセキュリティ管理が未整備」と答えた組織は58%にも上る。つまり、DXのスピードに対し、必要なセキュリティのポリシーや体制などの整備が十分に整っていないというわけだ。

 青山氏は「約60%の組織が、セキュリティとDXのバランスが取れないまま走っている状態」と警鐘を鳴らす。その背景には、DXにおけるセキュリティチームと経営層の価値観に齟齬が生じていることがあるようだ。ITセキュリティを担当する部門と経営層の間で、「優先順位が合意できている」と答えた組織はわずかに16%に過ぎない。

 そしてDXのプロジェクトについて「予算がセキュリティに割り当てられている」と回答したのは35%程度であり、社外システムへの依存性が増しているにも関わらず、セキュリティ管理体制の未整備が60%、かつ予算すら割り当てていない組織が35%という状況にあるという。

 サイバーリスクが顕在化しつつあるにも関わらず、十分なセキュリティ対策を取れていないだけでなく、上層部の理解もなく、予算もないために当分対応もできないという状況にある。その上、リスクアセスメントもできていないまま、DXだけがどんどん進んでいる状態と言えるだろう。

[画像クリックで拡大]

 なお、グローバル全体のトレンドとして、セキュリティに関する規制や法律の整備が国内外で進むにつれ、「セキュリティはIT部門だけでなく組織全体で対応するもの」と捉え方・考え方が変わってきているという。たとえば、米国の政府機関NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行する『サイバーセキュリティフレームワーク(CSF)』では、元々挙げられていた「5つのコア機能=特定・保護・検知・対処・復旧」といった一連の流れを支える機能として「ガバナンス」が加わった。

 つまり、IT部門だけでセキュリティのPDCAを回すだけでは不十分であり、組織の責任者がリーダーシップをとってセキュリティの「ガバナンス」を担保する必要があるという見方だ。しっかりと組織のリスクを理解した上でのセキュリティガバナンスが求められている。

[画像クリックで拡大]

 青山氏は「セキュリティのあり方もDXと共に変わっていくべき。ガバナンスの重要性が高まっていることを踏まえ、サイロ化しやすいセキュリティ・IT業務の枠を破っていくこと、つまりは『セキュリティトランスフォーメーション』が大切」と語り、そのポイントとして次の3つを挙げた。

1. サイバーリスクを経営リスク管理の一部として組み込むこと

 サイバー特有のリスクの考え方・捉え方はあるが、経営全体におけるサイバーリスクが占める比率を考える。たとえば、リスクマトリクスで表現したときにサイバーリスクがどこにポジションするのか、「組織のリスクマネジメントにおけるサイバーセキュリティ」として捉えることが重要だ。

2. IT部門と経営層が、保護すべき資産と業務について優先順位を合意すること

 サイバーセキュリティに関する優先順位について、社内ステークホルダー間で合意することは欠かせない。特にIT部門はイニシアチブを取って優先順位を考えるべきだ。さもなくば部門やステークホルダーがそれぞれの価値観、考え方に基づいて優先順位を勝手に理解し、調整なきまま業務にも反映させてしまう恐れがある。

3. レジリエンスの設計・デザインを協力して実施すること

 レジリエンスはいざというとき、すぐに発揮できるものではない。システムに関連する組織やプロセスをデザインする過程で、「どのようにリスクに対応するのか」「どうやって異変から学習するのか」を組み込んで考える必要がある。そのためには、DXプロジェクトの初期段階からセキュリティ担当者がしっかりと関与することが重要だ。

[1] 「Digital Transformation & Cyber Risk: What You Need to Know to Stay Safe」(Ponemon Institute,2020)

次のページ
サプライチェーンセキュリティ特有の課題

NEXT

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2024 春の陣レポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19504 2024/05/09 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    NICTのサイバーセキュリティ研究所長が語る、不足が深刻な「セキュリティ人材」育成の有効策とは?
  2. 2
    大規模システム障害を経たみずほ“IT運用改革”の今 7万パターンの障害対応は生成AIで自動化できるか
  3. 3
    マイクロソフト「Ignite 2024」発表の最新事例:AIエージェント化するCopilotの進化とは?
  4. 4
    もう無視できないモノづくりの後継者問題 「若者が自走できる環境づくりを」現状と打開策を訊く
  5. 5
    マイクロソフト「Ignite 2024」──AIエージェントを実現するCopilot&AI Stackとは
  6. 6
    「事業のエキスパートをAIの世界に入ってこられるようにする」Dataiku CEOが創業時から掲げる“AIの民主化”への道筋
  7. 7
    【年末特集】JTB、日清食品HD、横浜市、損保ジャパンのCIO/CISOに2025年の目標を尋ねる
  8. 8
    今こそ知るべき、生成AIアプリ特有のセキュリティ対策アプローチ──数百万人の調査から判明した脅威とは
  9. 9
    ETLで絡み合った“スパゲティ状態”の統合基盤解消法とは モダナイズの肝「SoE」システム構築を解説
  10. 10
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  1. 1
    NICTのサイバーセキュリティ研究所長が語る、不足が深刻な「セキュリティ人材」育成の有効策とは?
  2. 2
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  3. 3
    大規模システム障害を経たみずほ“IT運用改革”の今 7万パターンの障害対応は生成AIで自動化できるか
  4. 4
    ヤマハ発動機のサイバーセキュリティは「アクセル」でありたい──グローバル・取引先とともに進める
  5. 5
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  6. 6
    会員1億人超「dポイント」の安定稼働を支える大規模インフラ共通基盤:ドコモ情シスが挑む3大DXに迫る
  7. 7
    「アイデンティティ管理」と共にキャリアを積んだ、Okta リージョナルCSO板倉氏に聞く
  8. 8
    「ソブリンクラウド」がクラウド業界の局面を変える──エンジニアのスキルセットも変化、人材育成が障壁に
  9. 9
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  10. 10
    アクティビスト対応は経営変革のトリガー ── DNP とJ.フロントリテイリングが語るCFO組織の役割とは

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    NICTのサイバーセキュリティ研究所長が語る、不足が深刻な「セキュリティ人材」育成の有効策とは?
  2. 2
    大規模システム障害を経たみずほ“IT運用改革”の今 7万パターンの障害対応は生成AIで自動化できるか
  3. 3
    マイクロソフト「Ignite 2024」発表の最新事例:AIエージェント化するCopilotの進化とは?
  4. 4
    もう無視できないモノづくりの後継者問題 「若者が自走できる環境づくりを」現状と打開策を訊く
  5. 5
    マイクロソフト「Ignite 2024」──AIエージェントを実現するCopilot&AI Stackとは
  6. 6
    「事業のエキスパートをAIの世界に入ってこられるようにする」Dataiku CEOが創業時から掲げる“AIの民主化”への道筋
  7. 7
    【年末特集】JTB、日清食品HD、横浜市、損保ジャパンのCIO/CISOに2025年の目標を尋ねる
  8. 8
    今こそ知るべき、生成AIアプリ特有のセキュリティ対策アプローチ──数百万人の調査から判明した脅威とは
  9. 9
    ETLで絡み合った“スパゲティ状態”の統合基盤解消法とは モダナイズの肝「SoE」システム構築を解説
  10. 10
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  1. 1
    NICTのサイバーセキュリティ研究所長が語る、不足が深刻な「セキュリティ人材」育成の有効策とは?
  2. 2
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  3. 3
    大規模システム障害を経たみずほ“IT運用改革”の今 7万パターンの障害対応は生成AIで自動化できるか
  4. 4
    ヤマハ発動機のサイバーセキュリティは「アクセル」でありたい──グローバル・取引先とともに進める
  5. 5
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  6. 6
    会員1億人超「dポイント」の安定稼働を支える大規模インフラ共通基盤:ドコモ情シスが挑む3大DXに迫る
  7. 7
    「アイデンティティ管理」と共にキャリアを積んだ、Okta リージョナルCSO板倉氏に聞く
  8. 8
    「ソブリンクラウド」がクラウド業界の局面を変える──エンジニアのスキルセットも変化、人材育成が障壁に
  9. 9
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  10. 10
    アクティビスト対応は経営変革のトリガー ── DNP とJ.フロントリテイリングが語るCFO組織の役割とは