Posted: 24 Feb. 2021 3 min. read

第3回:社内守るだけでは守れず

シリーズ:DX時代のサイバー対策

サイバーセキュリティーは、政治・経済・社会・技術といったマクロな外部環境の変化のみならず、サイバーセキュリティー固有のミクロな変化によっても動向が左右される。その一つとして、セキュリティー脅威に関する特徴の変遷が挙げられる。

 

これまでのサイバー関連の脅威は、組織内で保有する情報資産の漏洩・改ざん・破壊に焦点が当てられることが多かった。これは現在も最も重要なリスクであり、文字通り「情報セキュリティー」として、未然に防止するまたは早期に発見することが組織の対応として求められている。

 

ただし近年の動向を見ると、攻撃の対象は組織内の「情報」から「サイバー空間」全体へと変化している。これまでのように組織内のみを見ればよいのでなく、インターネット上も含めて、情報システム、さらには社外の様々な機器・サービスとの通信から成り立つ制御技術(OT)、あらゆるモノがネットにつながるIoT環境にまでおよび、より広範な視野が求められる。

 

そして、脅威の手口も変わりつつある。これまでの漏洩・改ざん・破壊という情報セキュリティーの三大毀損のみならず、AIの悪用、システム機能の乗っ取り、それに伴う他のシステム環境への踏み台攻撃など、より高度・複雑で広範囲に及ぶ脅威が登場しつつある。その結果、サイバー脅威は、我々の社会・生活に大きな混乱をもたらす危険をはらんでいる。

 

また、インターネット上の闇サイトでは、電子的な武器、攻撃手法などサイバー関連の危険な情報の売買も進み、組織的かつ犯罪的な動きが強まっている。機密情報の売買、サイバー攻撃手法のテロへの活用、犯罪者同士の協業コミュニティーなども水面下で暗躍しつつある。こうした脅威の変遷を経て、攻撃を受けるまたは被害が顕在化する前に社内環境を調査し大元を特定するハンティング型の活動が登場してきている。

 

世界経済フォーラムのダボス会議でも近年、サイバー脅威が最上位のリスクとして位置付けられ、2020年1月に発表した「グローバルリスク報告書」でも、「発生可能性」「影響の大きさ」のどちらとも「サイバー攻撃」が「異常気象」などと並んで10位以内に入っている。

 

また、日本では経済産業省が15年に「サイバーセキュリティ経営ガイドライン」を公開しており、これ以降、経営層が取り組むべき重要課題の一つとして、業界全体において組織の注目度も一段と高まっている。

 

今後、組織として採用または優先すべきサイバー対策の見極めは、経営者にとって、企業の成長を左右する重大な意思決定となるだろう。決して軽視することはできない。

※クリックかタップで拡大画像をご覧いただけます

本稿は2020年12月15日に日経産業新聞に掲載された「戦略フォーサイト:DX時代のサイバー対策(4)社内守るだけでは守れず」を一部改訂したものです。

D-NNOVATIONスペシャルサイト

社会課題の解決に向けたプロフェッショナルたちの物語や視点を発信しています

プロフェッショナル

高橋 宏之/Hiroyuki Takahashi

高橋 宏之/Hiroyuki Takahashi

デロイト トーマツ グループ マネージングディレクター

デロイト トーマツ サイバー合同会社所属。 国内SI企業で省庁向けの大規模システム開発やERP導入を経験後、デロイト トーマツ コンサルティングに入社し、ビジネスプロセス改善やCIO向けアドバイザリー業務に従事。 2010年、現デロイト トーマツ サイバー合同会社に転籍後は、セキュリティ統括部門整備、セキュリティ中期計画策定、セキュリティリスク評価、プライバシー保護対応等のマネジメント領域のプロジェクトを多数経験。近年は、自動車業界のエキスパートとして、国内の自動車OEM及び関連外郭団体との連携を通じて、レギュレーション対応や企業間のセキュリティ関連情報の共有促進のためのワーキンググループ支援等、業界をリードする立場で先進的なプロジェクトに取り組む。