日本マイクロソフトは2018年6月12日、「デジタルトランスフォーメーションにおけるセキュリティの役割」と題したプレスラウンドテーブルを開催。同社 チーフセキュリティオフィサー(CSO)の河野省二氏が、米Frost Sullivanとマイクロソフトがアジア地域の企業を対象に実施したサイバーセキュリティに関する調査レポートの結果を示しながら、企業がとるべき対策について説明した。
日本マイクロソフト チーフセキュリティオフィサー(CSO)の河野省二氏
今回の調査は、日本を含むアジア地域の100カ国のビジネス意思決定者(CEO、COOなど)およびIT意思決定者(CIO、CISO)を対象に実施。製造、金融、公官庁、ヘルスケア、教育、流通の1300社の回答をサンプルとして採用した。サンプル企業の組織サイズは、社員数500人以上の大規模企業が71%、社員数250人~499人の中規模企業が29%となっている。
セキュリティソリューション数が増えてもインシデントは減らず
働き方改革、AI活用などのデジタルトランスフォーメーションに注目が集まる一方で、サイバーセキュリティへの懸念がデジタルトラスフォーメーション推進の阻害要因になっている。今回の調査では、日本企業の48%が「サイバー攻撃がデジタルトランスフォーメーションの阻害要因」と回答した。
事実、サイバー攻撃を受けたときの経済損失は大きい。一度サイバー攻撃を受け、データ漏洩などのセキュリティ侵害が起こると、訴訟・罰金・売上ダウンといった「直接コスト」だけでなく、企業の評判の失墜や顧客離れなどの「間接コスト」、1つの事故に起因する別の事故が発生し更なる損失が誘発される「誘発コスト」が発生し、最終的に1つの事故の損失総額が膨らむ。調査では、日本の大企業がサイバー攻撃を受けたときの影響は、直接・間接・誘発コストを合わせると約37憶円になると報告している。
そもそも損失計上以前に、「58%の組織でセキュリティインシデントが発生したことに気づいていない」ということも調査で明らかになった。企業が自身で把握できている事故はごく一部であり、見えない部分に対策を講じていないため、結果として誘発コストが大きなものになっているという。ただし、これは企業がセキュリティ対策に無関心だからではない。多くの企業は、自社システムで発生するインシデントを検知して迅速に回復するべく、様々なセキュリティソリューションを導入している。
皮肉なことに、企業がセキュリティ対策を厚くしようとセキュリティソリューションの数を増やせば増やすほど、「インシデントからの回復に時間がかかる」と今回の調査レポートは報告している。
セキュリティソリューションの数を増やしてもインシデントの数は減らず、かえって複雑化することで回復に要する時間が長くなる。「この複雑性を解消するために7~8年前からSIEM(Security Information and Event Management)が使われるようになったが、(監視や対応が)人力では時間がかかる。そこで、セキュリティ対策をAIで自動化することが期待されている」(河野氏)。今回の調査では、75%の日本企業が「AIをサイバーセキュリティに活用している、もしくは活用予定」と回答した。
サイバーセキュリティ対策と組織
デジタル変革とセキュリティ対策はお互いの機能を高め合う
「AIや自動化を活用して業務やITの機能を向上させるのがデジタルトランスフォーメーション」(河野氏)であり、サイバーセキュリティ対策へのAI・自動化活用もデジタルトランスフォーメーションの一貫だ。さらに、SaaSやID as a Serviceといったクラウドを活用する働き方改革は、プラットフォームをシンプル化する。多くの組織が共通のプラットフォームを利用するSaaSは、未知へのサイバー攻撃へアクティブに対応できる。SaaSを利用するユーザー、資産をID as a Serviceで管理することで、すべての資産がネットワークに紐づけられてガバナンスが向上する。
「デジタルトランスフォーメーションとサイバーセキュリティは別々に考えるのではなく、お互いの機能を高め合う関係ととらえて、それぞれ推進するべきだ」(河野氏)
