サイバーセキュリティはDX推進に不可欠!組織が取るべき対策も解説 - 株式会社STANDARD

サイバーセキュリティはDX推進に不可欠!組織が取るべき対策も解説

DX・AIプロジェクト推進

この記事の目次

  1. サイバーセキュリティが必要な理由
  2. サイバーセキュリティとは
  3. 企業が知るべき「サイバーセキュリティ経営ガイドライン 」
  4. DX推進で求められる「サイバーセキュリティ」人材とは
  5. 持続的な経営にはサイバーセキュリティ人材が不可欠

自社でDXを進めるにあたって、業務のデジタル化を進めている企業は多いでしょう。しかし、デジタル化を進めるとオンライン上での作業が多くなり、サイバー攻撃の不安もあります。そこで、リスクを抑えて持続可能な経営をしていくためにはサイバーセキュリティ対策が不可欠です。しかし、サイバーセキュリティについてよくわからない、何をしたらよいのかとお悩みの方はいませんか。

この記事ではサイバーセキュリティに関して以下の内容を中心に解説します。

  • サイバーセキュリティが必要な理由
  • サイバーセキュリティとは
  • 企業が知るべき「サイバーセキュリティ経営ガイドライン 」
  • DX推進で求められる「サイバーセキュリティ」人材とは

サイバーセキュリティについて詳しく知りたい方や、リスクを抑えてDXを効果的に進めていきたいという方はぜひ参考にしてください。

サイバーセキュリティが必要な理由

サイバーセキュリティは現代社会においてとても重要です。年々増加するサイバー攻撃は、組織や個人に対する深刻なリスクとなっています。

そのためサイバーセキュリティは、組織が持続可能な経営体制を確立するために欠かせません。サイバー攻撃に備えないと、機密情報の漏洩やデータの破壊、サービスの中断など、重大な被害を被る可能性が高まり企業のリスクとなり得るからです。そのため、組織はサイバーセキュリティ対策を経営戦略の一環として位置づけ、適切な対策を講じる必要があるのです。

さらに、サイバー攻撃を受けたら直接被害を受けた企業だけでなく、関わりのある組織や個人などにも影響が波及し、日本経済全体の打撃ともなり得ます。そこで、セキュリティ対策を講じることで日本の経済安全保障を守ることにもつながります。

サイバー攻撃の脅威を受けて、日本政府の経済産業省や総務省などでは、サイバーセキュリティ対策の必要性を強調し、組織や個人に警鐘を鳴らしています。また日本政府は「サイバーセキュリティ月間」などのイベントを通じてセキュリティ意識の向上を促すこともしています。

サイバーセキュリティとは

サイバーセキュリティとはそもそも何でしょうか。ここでは、サイバー攻撃とサイバーセキュリティについて詳しく解説します。

サイバー攻撃とはインターネットでの脅威

サイバー攻撃とは、ネットワークを通じて実行される攻撃や破壊行為で、通常は個人もしくは企業、政府機関などの組織が標的とされます。これらの攻撃の形態は多岐にわたり、例えば基幹システムの機能停止、ウェブサービスのシステムダウン、機密情報や顧客データの盗難、大規模な顧客情報の流出、ウェブサイトの改ざんやシステムの停止、工場の生産ラインの中断などさまざまです。サイバー攻撃は、インターネットを介して行われ、その影響は広範囲に及び、情報セキュリティや組織の運営に深刻な被害をもたらす可能性があります。

サイバー攻撃の種類

サイバー攻撃には多くの種類があり、それぞれが異なる目的を持って、さまざまな被害を引き起こす可能性があります。以下に一部のサイバー攻撃の例を紹介します。

  • マルウェア攻撃

マルウェアとは、「Malicious Software(悪意のあるソフトウェア)」から由来する造語で、コンピューターシステムやデバイスに侵入して情報の盗難、システムの破壊、不正アクセスなど悪意のある動作を実行するソフトウェアの総称です。ウイルスや、ワーム、トロイの木馬、Emotet(エモテット)などもマルウェアにあたります。

  • フィッシング攻撃

フィッシング攻撃とは、詐欺的な電子メールやウェブサイトを使って、ユーザーから個人情報や認証情報を詐取する攻撃です。これによって個人情報の盗難や、アカウントの不正利用、金銭的損失などがもたらされます。

  • Dos攻撃

Dos攻撃は、特定のサービスやリソースに過度なトラフィックや要求を送り、サーバーやネットワークを過負荷状態に追い込み、正当なユーザーのアクセスを妨害します。Dos攻撃は単一の攻撃源からの攻撃ですが、複数の攻撃源を使って仕掛けてくるDDos攻撃というものもあります。これらの攻撃によってサービスの一時的な停止や遅延、ユーザーへのアクセス妨害などがもたらされます。

  • スパイウェア

スパイウェアとは、ウェブサーバーやネットワークに過剰なトラフィックを送り込んで、サービスを一時的に利用不能にする攻撃です。これによって、ウェブサイトやオンラインサービスのダウンタイム、業務の中断、収益の損失などがもたらされます。

サイバーセキュリティは攻撃への対策

サイバーセキュリティとは、サイバー攻撃から組織や個人を保護するための対策とプロセスです。具体的には、セキュリティポリシーの策定や強力なパスワードの使用、侵入検知システムや暗号化技術の利用、定期的なセキュリティ監視などが含まれます。

この際に重要となるのが、情報セキュリティの3要素(CIA)である「機密性」「完全性」「可用性」を確保しながらサイバー攻撃の防御を強化することです。「機密性」とは認可されていない者による閲覧や利用を防ぐこと、「完全性」とは情報やデータが改ざんや破壊から守られ、正確で信頼性が保たれること、「可用性」とは情報やデータが必要なときに利用可能であることを指します。

極端に「機密性」を高めると「可用性」が低下し、逆に「可用性」を高めすぎると「機密性」が脆弱になるといった可能性があるため、これらの要素をバランス良く保護するようにサイバーセキュリティは設計される必要があります。

企業が知るべき「サイバーセキュリティ経営ガイドライン 」

経済産業省が公表している「サイバーセキュリティ経営ガイドライン」には、大企業と中小

企業の経営者が知っておくべきサイバーセキュリティ対策の概要や、それを実践するための方法が示されています。ここではこのガイドラインの内容を中心に、その概要や経営者が認識すべき3原則、推奨される重要なサイバーセキュリティ対策について解説します。特に経営者や、サイバーセキュリティ対策の担当者はぜひ参考にしてください。

「サイバーセキュリティ経営ガイドライン」の概要

「サイバーセキュリティ経営ガイドライン」とは、大企業及び中小企業の経営者を対象 としてサイバー攻撃から企業を守るために経営者が認識する必要がある「3原則」と、サイバーセキュリティ対策を実施する上で意識すべき「重要10項目」をまとめたものです。

このガイドラインは、全ての企業規模に対応した内容にするのが難しいという理由から大企業と中小企業を対象にしてまとめられていますが、DXを進める企業などデジタル環境を介して外部とつながっている企業であれば、企業規模を問わず、サイバーセキュリティリスクを考慮することが求められるので心に留めておきましょう。

経営者が認識すべき3原則

「サイバーセキュリティ経営ガイドライン」でまとめられている、経営者が認識すべき3原則では以下の内容が言及されています。

  1. 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要。
  2. サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要。
  3. 平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要。

1つめは、経営者がリーダーシップをとってサイバー攻撃のリスクと企業への影響を考慮したサイバーセキュリティ対策を推進するとともに、企業の事業継続のためのセキュリティ投資を実施すべきであるということを示した内容です。

2つめは、自社のサイバーセキュリティ対策にとどまらず、クラウドサービスの利用などデジタル環境を介した外部とのつながりの全てを含むサプライチェーン全体を意識して、総合的なサイバーセキュリティ対策を実施すべきであるということを示した内容です。

3つめは、普段から株主や顧客など社外の利害関係者、社内の関係者にサイバーセキュリティ対策に関する情報開示を行うことなどで信頼関係を醸成することが大切であるということを示した内容です。そうすることでインシデント発生時にもコミュニケーションを円滑に進めやすくなるための備えになります。

推奨される重要なサイバーセキュリティ対策

ガイドラインに関連して経済産業省から出された「サイバーセキュリティ対策についての産業界へのメッセージ」では、以下のようなサイバーセキュリティ対策が推奨されています。

  • サイバーセキュリティ対策を徹底し、持続可能な体制を確立する

VPN 機器などの 保有資産へのアクセス経路となり得るパスワードの扱いに注意する、システムが停止した場合に、業務を止めないための計画(BCP)を策定し、代替手段を整備しておくなど、日頃からサイバーセキュリティ対策を細かくチェックし、持続可能な経営ができるように整備することが大切です。

  • マルウェア等の感染が確認された場合には、適時、報告・相談・対応を行う

もしマルウェア等のサイバー攻撃で感染が確認された場合は、感染拡大防止をしながら早期の業務復旧を図る、取引先を含めた関係者に状況を迅速に共有する、警察、個人情報保護委員会、所管省庁等への報告・届出を実施するなど、感染した場合は必要な関係者へ報告や相談を適宜しながら、迅速な対応が求められます。

  • 中小企業においては「サイバーセキュリティお助け隊サービス」などの支援パッケージを 活用する

自社がサイバー攻撃で被害を受けた場合、その影響は自社にとどまらずサプライチェーン全体の事業活動に及ぶ可能性があることをふまえて、中小企業も積極的なサイバーセキュリティ対策に取り組むことが必要です。中小企業が情報セキュリティ対策に取り組むことを自己宣言する「SECURITY ACTION」という制度や中小企業向けに開発された「サイバーセキュリティお助け隊サービス」という支援パッケージなどの活用が推奨されています。

  • IT サービス等提供事業者は、製品・サービスのセキュリティ対策に責任を持つ

IT サービス等提供事業者は、顧客の情報資産やプライバシーを保護するために、提供する製品・サービスにセキュリティ対策を実施することや、製品・サービスの重大な脆弱性が公表された場合には、顧客へ連絡する等の対応を迅速に行うなど、製品やサービスのセキュリティ対策に責任を持つよう求められます。

DX推進で求められる「サイバーセキュリティ」人材とは

何が起こるかわからない不確実な経営環境や多様化する顧客のニーズなどに対応していかなければいけない現代では、DXの推進が不可避です。ここでは、DXを進める上で求められる「サイバーセキュリティ」人材について解説します。

DX人材育成の指針となる「デジタルスキル標準」

DXとは、企業価値や市場の競争力を高めるために、デジタル技術やデータを活用しながら、ビジネスモデルや組織文化などを大きく変革していく取り組みを指します。DXを推進していくために重要となるのは人材です。DXは企業を根底から変容させる大変な取り組みのため、経営者だけでなく従業員も自分事として、全社一丸的に取り組む必要があります。そのため、一人一人の従業員がDXの目的を理解して進まないといけません。同時に、DXを具体的に進めていくためには、適切な専門性を持った人材の確保と育成が不可欠です。

経済産業省が公表した「DX推進スキル標準(DSS-P)」では、企業や組織のDX推進において必要な人材がどのような人材なのかがまとめられています。この中では主に必要となる人材を、「サイバーセキュリティ」「ビジネスアーキテクト」「データサイエンス」「デザイナー」「ソフトウェアエンジニア」の5つの「人材類型」に区分して定義されています。

このうちの「サイバーセキュリティ」人材について次で詳しく見ていきましょう。

「デジタルスキル標準」についてさらに詳しく知りたい方は、以下のページも参考にしてください。

関連:「DXリテラシー標準(DSS-L)」が示す企業変革のための行動と学習の指針とは

「サイバーセキュリティ」の人材類型とは

「サイバーセキュリティ」の人材類型とは、業務プロセスを支えるデジタル環境でのサイバーセキュリティリスクの影響を抑制する対策を担う人材を指します。「サイバーセキュリティ」の人材類型に求められるのは主に以下の業務です。

  • デジタル関連リスクの影響を抑制するための技術的管理策に対応するセキュリティ対策製品やサービスの導入・実装を行う。
  • セキュリティ対策製品・サービスの運用及び保守を行う。
  • デジタル活用におけるシステム、サービス、設定等のサイバーセキュリティに関わる変更管理を行う。
  • デジタル活用におけるパフォーマンス評価、脆弱性対応管理を行う。

これらの業務を進めるためには、以下のスキルが求められます。

  • セキュリティマネジメント
  • プライバシー保護
  • セキュリティ体制構築・運営
  • インシデント対応と事業継続
  • セキュア設計・開発・構築
  • セキュリティ運用・保守・監視

「サイバーセキュリティ」の人材類型は、セキュリティ対策に関する高い専門性が求められますが、セキュリティ人材は不足がちであるため、新たに雇用するのは難しく、自社で従業員を育成していくことも重要となります。

持続的な経営にはサイバーセキュリティ人材が不可欠

自社でDXを進めるにあたっては、デジタル化を進めることでもあるためオンライン上での作業が大部分を占め、サイバー攻撃のリスクが高まります。DXを実現するためには、サイバーセキュリティの専門知識を持った人材が不可欠です。IT人材が少ない現状では、新しくサイバーセキュリティに特化した人材を雇用するのが難しいでしょう。そこで、人材を確保するには自社での育成が必要となります。

弊社では、これまで700社以上のDX人材育成実績で培ったノウハウを基に、企業が目指すDX人材像や要件レベルをデジタルスキル標準に準拠した形でアセスメント・トラッキングできるようにすることで、人材成長に合わせた実践型育成カリキュラムを通じて企業ごとに最適化されたDX人材を創出できるサービス「DX人材プランニング」を提供しています。

DXを進めていく人材を育成したいと考えている方は、詳細な資料をご用意していますので、下記の「資料ダウンロード」よりご覧ください。

資料ダウンロードDX人材プランニング

 

デジタルスキル標準に準拠したDX人材像とスキルの定義、カリキュラム策定の進め方
資料ダウンロードはこちら

また、弊社ではDX/AI人材育成ノウハウや各業界に特化したDX推進事例等をご紹介するセミナーを毎月2回以上開催しています。ぜひこちらも貴社のDX推進の一助にお役立てください。

DX入門編として本などの書籍だけでなく無料のDXセミナーも開催中

この記事を監修した人
伊藤 海

株式会社STANDARD
執行役員 ソリューション事業部 事業部長

伊藤 海
日本郵政(主にかんぽ生命)に新卒入社、その後PwCコンサルティングにおいて組織人事戦略(People Transformation)チームにてコンサルティングに従事。特に意識行動変革(チェンジマネジメント)領域やDX人材育成の領域の支援を中心に強みを持つ。その後DXコンサルティングファームの立ち上げ期に参画しDX人材領域のコンサルティングリード兼同社の人事統括責任者としての経験を経て、STANDARDへ入社し現職。
DXに関するお悩みや弊社へのご相談・
お問い合わせはお気軽にどうぞ
サービスの詳細資料を無料公開しています
資料ダウンロードはこちら
 お問い合わせはこちら
30分で解説!デジタルスキル標準に完全準拠した個別教育型の人材育成
©Copyright 2024 STANDARD Inc. All Rights Reserved.
情報セキュリティ基本方針 プライバシーポリシー