DX推進にともなう新たなセキュリティリスク
武藤氏の所属するエムオーテックスは1990年に設立され、当初はIT資産管理ツールを提供するメーカーとしてスタートした。現在では事業領域を拡大し、サイバーセキュリティを中心に、ソフトウェア製品の開発・販売に加え、サイバーセキュリティのコンサルティング、ソリューション導入、運用監視サービスを展開する企業へと成長。武藤氏は、IT資産管理ツール「LANSCOPE エンドポイントマネージャー クラウド版」のプロダクトマーケティングマネージャーとして、販売計画やロードマップの策定を推進している人物だ。
今やどの業界でも意識せざるを得なくなったDX推進だが、その目的はビジネスモデルの再構築にあり、その実現のためには組織やIT、オペレーションの変革が欠かせない。「特に『ITの再構築』においては、セキュリティとガバナンスの強化が必要だ」と武藤氏。
元々、働き方改革にともない人々の働き方は変化していたが、特にコロナ禍の影響は大きく、テレワークやクラウドサービスの導入が加速したことで、働く場所が固定されなくなった。ITの環境もオンプレミスからクラウドへ移行する組織が増加し、情報やデータは自社内だけでなく、外部に共有される機会も増えている。たとえば、ビデオ会議ツールやコラボレーションツールで社外のメンバーを招いて情報共有するシーンは、今や日常茶飯事だ。加えて、生成AIなどの活用による業務効率化で、人手不足の解消を目指す動きもある。
しかし、DXで向き合うべき課題は、「ITの再構築」における生産性向上だけでは片手落ちだ。新たな技術の導入にともなう、セキュリティリスクへの対策も重要だと武藤氏は繰り返す。生産性を追求するあまり、セキュリティが脅かされてしまっては問題だろう。もちろん、セキュリティばかりに注力して生産性の向上が阻害されるのも望ましくない。
「生産性の向上は重要だと思います。しかし、安全性やセキュリティへの投資が必要な段階に入ってきたのではないかと考えています」(武藤氏)
実際、セキュリティインシデントは至るところで生じており、最近では影響の大きな事案の報道も目立つ。加えて、脅威の種類や手口も多様化しており、不正アクセスやサプライチェーンを狙った攻撃、さらには外部からの攻撃だけでなく、内部不正による情報漏洩も発生している。たとえば、クラウドの設定ミスで、社外秘のデータが外部から見えるようになってしまうケースがあった。また、生成AIに頼りすぎた結果、誤った情報を学習データとして使用してしまうリスクもある。
IPA(情報処理推進機構)が毎年公表している『情報セキュリティ10大脅威』にて、4年連続で1位にランクインしているのが、ランサムウェアによる被害だ。また、標的型攻撃による情報漏洩も上位に入っており、最近ではこれらの脅威に生成AIの影響が表れはじめている。たとえば、生成AIを悪用した“高度な”ビジネスメール詐欺を見聞きしたことはないだろうか。従来は日本語の不自然さで詐欺だと気づくこともあったが、最近では日本語が堪能でなくても、違和感のないクオリティでメールが作成できるようになっている。
インシデント対応サービスを提供している同社でも、こうした脅威に対する相談が増えているという。ただし、これらの脅威は単体で使われることは少なく、攻撃者は複数の手法を組み合わせている。ターゲットは大企業だけでなく、中堅・中小企業やグループ子会社などのサプライチェーンを踏み台にした攻撃も多いという。特に、管理が行き届いていない端末やサーバーが狙われ、機密情報の窃取や情報の暗号化による金銭要求が行われやすい。こうした状況の中で、最も基本的で重要なセキュリティ対策は、自社やサプライチェーン関連企業内の管理されていない端末や「野良サーバー」をなくすことだと武藤氏は指摘する。