「クラウド設定は、どんどん複雑化していることから、今後も同様の事件は起きることが予想されます。クラウド利用の原則として、データ保全、アクセス制御、セキュリティ設定・運用などの責任分界点の理解が必須です。自分たちで設定可能な項目の設定責任はデフォルトがどうであれ利用者側の責任であることを理解し、常に設定が実際に望んでいる状態なのかを確認することが重要になります」(西本氏)
コロナ禍が続く現在、多くの組織や企業が、実際にテレワークが有効であることは実感している。一方、意思疎通が難しくなった、やはり集まった方がはるかに効率が良い、組織としての暗黙知の形成が難しいなどの声も聞かれる。西本氏は、「このような声は、変革時には必ず耳にします。しかし今後、道具も続々と登場し、少しずつ馴染んでいくでしょう。その先の話として、単なるテレワークからDXを推進することが重要です」と話す。
ウィズコロナ/アフターコロナ時代の新常態では、ジョブ型雇用へ移行し、暗黙知だった業務を形式知へ変えていくことが必要。そのためには、人材の流動化が促進され、職種ごとのキャリアパスの形成を自身で行うことが必要になる。また、クラウド活用の促進や組織としてのITリテラシー(DX力、デジ力)を養うことも重要になる。
「“なんちゃってデジタル”から、本当の意味でのDX実現に向けて取り組むことが必要です。例えば取締役会にてExcelで作成した紙を念頭においた資料を表示してオンライン会議を行うのではなく、紙を意識しないデジタル由来の資料やBIツールなどを活用したリアルタイムのデータ提供や分析が可能な基盤を使用した会議へと移行しなければなりません。こうした取り組みは、IT部門ではなく、業務部門が主体となって取り組むことが必要です。“自由と責任”、および“デジタル完結形”へ向かうことが重要です」(西本氏)
セキュリティの新常態を考える場合、コロナ対策から学ぶことは多い。例えば、コロナ対応では、医療崩壊を回避することで、最高の治療がいつでも受けられる体制を確立しておくことが重要になる。また、自分が重篤化しやすい持病を持っているかどうかを認知したうえで、手洗いやマスクの着用、検温、消毒、三密排除、営業抑制などによる適度な予防・防御策で感染を抑制するといった合わせ技のバランスが重要になる。
「感染者(濃厚接触者)前提の事業継続計画と訓練をするなどの考え方は、セキュリティ対策においても重要な観点です」と西本氏は言う。
コロナ対策から、セキュリティ対策のさじ加減を考えてみると、まず決め手は、医療崩壊の回避と治療薬の常備という万一への備え、つまり事業継続性の確保である。現状ではEDRが最適であり、EDRの導入により、課題である在宅勤務の対処も遠隔で対応できる。
また、セキュリティ診断やリモートワーク環境チェック、クラウド設定チェックなどで、状況を知る(重症化しやすい体質なのか)ことも重要。経営者、CSIRT、従業員への教育、訓練、演習などは、一種のワクチンであり、安全に抗体を作ることができる。データバックアップなど、復元力の担保も重要になる。
さらに、適度な予防策や防御策も重要。現状では、ゼロトラストセキュリティが注目されているが、これはマスクや消毒に該当する。ただ高度な防護服など、上をみればきりがない。頼りすぎると、安心しがちになり、免疫力低下により油断から一気に重篤化する懸念もあるので注意が必要。その他、サプライチェーン管理は、例えると感染経路の把握とその管理に該当し、今後必須の対策であり、有効な事業投資ともなりえる。
コロナ対策から学ぶサイバーセキュリティを端的にまとめると、以下の通り。
西本氏は、「緊急事態だからという理由で、セキュリティを考慮せずにテレワークをする時代ではなくなりました。緊急事態という隙を突いた攻撃が常態化しているだけではなく、経営資源を最大活用するためには、ITをフル活用したDXが不可欠であり、DXの実現にはセキュリティが必須だからです。また、BCPや環境経営でサプライチェーンマネジメントが求められているように、DXにおいてもさまざまなレイヤーでサイバーセキュリティサプライチェーンが不可欠です。まさに“新しい酒は新しい革袋に盛れ”なのです」と締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授