サイバーセキュリティとプライバシーを取り巻く環境変化に対応する:第3回
2021年8月16日(月)一原 盛悟(KPMGコンサルティング リスクコンサルティングサービス ディレクター)
ニューノーマル時代=コロナ禍が人々の社会や生活を一変させた一方で、企業・組織では感染対策のためのワークスタイル/ワークプレイス変革が進展することとなった。至上命題であるデジタルトランスフォーメーション(DX) の機運と共に、テレワークやペーパーレス、ワークフローなどの導入・刷新が急速に進む中で、これまであまり顕在化しなかったリスクへの対処が大きな課題となっている。本稿では、ニューノーマル時代にDXを推進するにあたって必須で求められる“リスクマネジメントの転換”=「デジタルリスクマネジメント」をテーマに、重要なポイントを解説していく。今回は、サイバーセキュリティとプライバシーを取り巻く環境変化とそれへの対応について述べる。
サイバーセキュリティ環境を取り巻く環境変化
サイバーセキュリティとプライバシーを取り巻く環境は、非常に広範囲でかつ、速いスピードで変化している。本稿では、企業が取り組むべきポイントを探ってみる。
新型コロナウイルス感染症(COVID-19)の世界的な感染拡大の影響により、半ば強制的にリモートワークへの転換が進む中、サイバー攻撃のアプローチやターゲットも大きく変化してきている。従来の情報系ネットワークを狙った攻撃や物理的な攻撃から、クラウドやエンドポイントを狙った攻撃が急増している。
ハーベイナッシュ(Harvey Nash)とKPMGが実施した2020年度CIO調査の結果においても、新型コロナにより増加したサイバー攻撃の1位はスピアフィッシング (83%)、続いてマルウェア(62%)だった。また、回答者の大多数のCIOがリモートワークになった従業員に対する脅威を挙げており、デジタルリスクマネジメントとしてのサイバーセキュリティリスクへの対応はますます重要となってきている(図1)。
図1:リモートワークの普及によるサイバーセキュリティ脅威の変化拡大画像表示
一方で、IoTやクラウド利用も急速に進んだ。クラウド利用については、従業員がリモートワーク環境で直接クラウドサービスを利用するケースと、リモートから社内環境に入ってそこからクラウドサービスを利用するケースが共に増えているが、どちらのケースでも、企業としてのセキュリティが確保されていることが前提になるのは言うまでもない(図2)。
図2:IoTやクラウドの利用を取り巻くサイバーセキュリティ脅威拡大画像表示
エンドポイント対策の重要性が増す
昨今は多くの企業で、 ISO27001(ISMS認証)やプライバシーマークの取得といった体制整備や、ゲートウェイなどの入口/出口対策の取り組みは意識され実施されている。しかしながら、これらの対策は基本的に自社ネットワーク上で従業員が作業することが前提で、現在のようなリモートワークが主体となる環境では状況が異なってくる。特に、従業員の私物のデバイスを業務に利用するBYOD(Bring Your Own Device)が以前より増えていることへの対策が求められる。
こうした状況から、デジタル化に対する統制(Control for Digital)として、エンドポイント対策を一段上のレベルで講じる必要が生じている。まずはエンドポイントの状況把握を行うことになるが、特にBYODの把握は困難が伴う。エージェントソフトウェアをすべてのエンドポイントにインストールして常時監視をする方法や、デバイスの負荷を考慮してエージェントレス形式でログを収集しシステムで定期的に分析する方法などがある。これらによって、自社のエンドポイントの状況を正確に把握し、実態に基づいたセキュリティ対策をとっていくことが欠かせない(図3)。
図3:エンドポイント調査の進め方拡大画像表示
●Next:人管理からIT管理への移行期に生じやすい「管理の盲点」
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- デジタルリスクマネジメントの着実な実行体制の構築を目指して:第7回(2022/01/06)
- 複雑化する事業環境で重要度が増す「サードパーティリスクマネジメント」:第6回(2021/11/19)
- データの信頼性確保に資するデータサプライチェーンとデータマネジメント:第5回(2021/10/15)
- データアナリティクスにおける“攻め”と“守り”:第4回(2021/09/22)
- DX推進で不可欠な「デジタルガバナンス」とは?:第2回(2021/06/18)
