DX時代に求められる情報セキュリティ
デジタル技術を活用して、既存ビジネスの変革や新たなビジネスモデルの創造を目指すデジタルトランスフォーメーション(以下、DX)に多くの企業が注目しています。しかし、DXの取り組みを推進する上で情報セキュリティ対策をおろそかにすると、サイバー攻撃などによって多大な損害を被ることも十分に考えられます。DX時代の情報セキュリティの重要性や対策ポイントを、NRIセキュアテクノロジーズ(以下、NRIセキュア)の佐藤健に聞きました。
DX時代の情報セキュリティはビジネスモデルへの理解も必要
―――現在、多くの企業がDXの取り組みを進めていますが、情報セキュリティ対策では何に気をつけるべきでしょうか。
これまでの情報セキュリティは、主にバグや設定ミスなどの脆弱性に対する攻撃をどう防ぐかという観点で考えられていました。しかしDXにより新たなビジネスが創出されると、そのビジネスモデルの弱点を突いた攻撃が生まれるのではないかと危惧しています。
例えば単体のサービスであれば安全であっても、別のサービスや技術と組み合わせたときにリスクが生じる可能性もあります。さらにサービスを提供するビジネスのロジックに問題があることも起こり得るため、情報システムだけを見るのではなく、ビジネスモデル全体を理解した上で情報セキュリティ上のリスクを検証する取り組みが必要でしょう。
―――DXプロジェクトを進める際、どのような情報セキュリティ対策をとるべきでしょうか。
DXプロジェクトは、小さいプロジェクトをスタートして徐々に拡⼤させていく「アジャイル開発」と呼ばれるスタイルで進めることが多いのではないかと思います。その際、プロジェクトの進捗に応じて情報セキュリティを担保しなければなりません。
プロジェクトがスタートしたばかり、あるいはサービスを開始したばかりだからといって、情報セキュリティを軽視すると、将来的に大きなリスクを抱え込むことにもなりかねません。アイディア出しの段階、あるいはPoC(Proof of Concept:概念実証)の段階から情報セキュリティを考慮し、情報システムやビジネスモデルの中に組み込んでおくことが必要です。
DXプロジェクトには情報セキュリティ担当者を配置すべき
―――実際にアジャイル開発でDXを進めることを考えたとき、どのような点に注意すべきでしょうか。
アジャイル開発の特徴は、開発すべき情報システムを細かく分割して短期間でリリースし、それを繰り返すことで全体を完成させるという手法にあります。このように開発サイクルが短くなるため、情報セキュリティを担保するのは難しい面があると思います。そこでNRIセキュアでは、開発プロセスの各フェーズでどういったことを考慮すべきか、具体的なアドバイスを提供し、情報セキュリティを組み込んだ形でのアジャイル開発を支援しています。
また、外部の力を利用するだけでなく、各企業、あるいは個々のプロジェクトの中で情報セキュリティを担当する人材を育成することも欠かせません。技術的に深いレベルまで精通している必要はありませんが、少なくとも情報セキュリティに関して旗振り役となり、セキュリティレベル向上に向けた施策を推進できる人材をプロジェクトチーム内に配置しておかなければ、スピード感を持ってDXに取り組むことはできないでしょう。
DXの情報セキュリティリスクは経営上の課題と認識すべき
―――NRIセキュアでは、安心・安全なDX実現のためにどのような支援をおこなっていますか。
先にお話ししたように、DX時代のセキュリティはビジネスモデルやそこに含まれるロジックまで含めて検討する必要がありますが、技術面からビジネスモデルに至るまで、一貫した情報セキュリティサービスを提供できるのはNRIセキュアしかないと考えています。主なサービスとしては、情報セキュリティ面からDXに関するプロジェクトを支援するコンサルサービスや、具体的に課題や脆弱な点を解消することを目的とした「S-SIRT(Service-Security Incident Response Team)」を提供しています。
お客様にお話を伺うと、DXプロジェクトを進める中でどのように情報セキュリティに対処すべきか分からないという悩みを聞くことが少なくありません。特に日本の場合、アジャイル開発への取り組みが海外と比べると遅れていているため、情報セキュリティへの対策が後回しになってしまう傾向があります。
DXがビジネスを左右する時代において、情報セキュリティリスクは経営上の重要課題であると考えています。NRIセキュアとしては、マネージドセキュリティサービス ※ からコンサルティング、さらにサービスやソフトウェアの開発まで対応する情報セキュリティベンダーとしての知見を生かし、お客さまと併走しながらDXプロジェクトの成功に向けて支援を行っていきます。
- マネージドセキュリティサービス:セキュアなネットワークの設計から各種セキュリティデバイスの導入、24時間365日体制の運用監視を行うフルアウトソーシングサービス
- NRIジャーナルの更新情報はFacebookページでもお知らせしています
プロフィール
※組織名、職名は現在と異なる場合があります。