ポストコロナ時代・ニューノーマル時代における移動方法や働き方の変化について、デロイト トーマツ グループが消費者・企業への調査結果と専門知見に基づいたオンライン記者説明会を9月10日に開催した。本記事ではそのうち、「ニューノーマル時代のサイバーセキュリティ」と題する講演について紹介する。
講演者は、デロイトトーマツサイバー(DTCY)で最高戦略責任者(CSO)兼サイバーストラテジー担当を務める、執行役員の桐原祐一郎氏。講演は、1.COVID-19を踏まえたサイバーセキュリティ動向、2.スマートワークの実現に向けたサイバーセキュリティ、3.DX(フィジカル空間とサイバー空間の融合)におけるサイバーセキュリティという流れで進行した。
サイバーリスクの近年の動向
まず最初に桐原氏から、企業を取り巻くサイバーリスクの近年の動向について解説があった。
企業におけるサイバーセキュリティについて、「事業環境の変化や社会環境の変化などよって、その考え方がだいぶ変わってきています」(桐原氏)という。社会環境に関しては、オリンピックなど国際的イベントの開催時にはサイバー攻撃が増える傾向があるとのこと。
また、規制環境にも変化が見られ、例えば自動車業界で自動運転をセキュアにするためのルールができるなど、多様な業界でサイバーセキュリティに関する自主ルールができてきているという。そうした状況を受け、調達基準にサイバーセキュリティに関する要件を含める動きもあると、桐原氏は紹介した。
さらに、脅威環境にも変化が起きているという。
具体的には、国家規模のサイバー攻撃が増加しており、また企業の情報システムのみならず、工場などの制御系システムや社会インフラ、あるいはIT化・IoT化した製品に対する攻撃が増えているとのことだ。
少し古い数字だが、桐原氏は「2017年には世界で63兆円、日本では3兆円の直接的な被害が起こりました」と被害の大きさに触れた上で、「仮に利益率10%とすると、3兆円を稼ぐには30兆円の売上を上げなければならないので、非常に大きな損害だといえます」と、深刻さを語った。
COVID-19の状況下での課題
現在のCOVID-19の状況下では、さらに別の問題もあると桐原氏は警鐘を鳴らす。
COVID-19の影響でリモートワークが広がっているが、桐原氏は「自宅で仕事をしていると、オフィスと異なり守ってくれる人がいないため、守る体制が弱まっています」と指摘する。
攻撃自体も増えており、桐原氏は「業界によって違いますが、多くの業界で2倍3倍に増えています」と解説した。
在宅環境になり守りが弱くなっていること、また自宅では上司など周囲の目が無い環境で仕事をしているため、内部不正のミスも増加しているという。また、コロナウイルスをテーマにした迷惑メールが、3月13日~26日において40万件に上るなど急増しているとのことだ。
さらに、業務プロセスに関する規程やポリシーがリモートワーク向けに設計されていないため、「非常に非効率になっていたり、コストも含めて非常に掛かっていたりする中で、なんとかリモートワークをしている状況かと思っています」と、桐原氏は現状を分析する。
ポストコロナ時代のサイバーセキュリティ
同社は、ポストコロナ時代においても継続または加速すると思われるサイバーセキュリティ関連の懸念事項を12項目まとめており、その中には米中二極化構造の鮮明化や監視・管理社会化、健康・衛生意識の変化、シニアによるデジタルエントリーも含まれている。
桐原氏は、「少なからずすべての事項においてサイバーセキュリティはこれから大きく変わっていくと思っていますし、そもそもCOVID-19によって世の中のデジタル化が加速してますので、サイバーセキュリティの重要性はより高まっていると感じています」と、サイバーセキュリティの見通しを語った。
スマートワーク実現に向けたサイバーセキュリティ
テーマは、スマートワークの実現に向けたサイバーセキュリティに移る。
桐原氏はこれに関連して、同社が企業に対して実施したアンケートの結果を紹介した。
企業が戦略的に投資していきたいITテーマをCOVID-19の前後で比較すると、コロナ禍以前は9位だった働き方改革が、コロナ禍以降では34%で1位に急上昇したという。
「IT戦略的にも、働き方改革を積極的に進めていこう、または投資していこうといった気運は非常に高まっています」と見る桐原氏は、「その働き方改革をどうやってサイバーセキュリティ的に担保するかは、非常に重要なアジェンダだと思っております」と強調した。
セキュアなスマートワーク環境に向けた企業の短期的なアプローチでは、内部環境や外部環境を分析した上で、リモートワークをする上でのリスクを洗い出した上で、スマートワークのための情報インフラや環境に対してマッピングすることで、網羅的に対策をしていこうとしているところだと桐原氏は解説した。
中長期的に見ると、仕事で使用する機器が、例えば会社から借りているPCやBYOD(従業員個人が所有する機器)、モバイル端末など、多様化していくと桐原氏は見ている。
アクセス環境も、従来と同様の社内環境からに加えて、社外の環境からアクセスする場合さらには、外部協力者や委託先、場合によってはAIからといった、複雑なIT環境になっていくという。
カギはゼロトラストセキュリティモデル
IT環境が複雑化していく中で、どのようにシステムを守っていくのか。
そのカギとなる考え方として、桐原氏はゼロトラストセキュリティモデルを挙げる。
ごく単純化すると、ゼロトラストセキュリティモデルとは、IDやパスワードの管理を厳重化することで守ろうという考え方だ。アクセスする場所や機器、回線などがどういったものであれ、IDをしっかりとマネージすることによって、セキュアなスマートワーク環境を実現しようというものだと桐原氏は説明する。
桐原氏によると、ゼロトラストセキュリティモデルを実現できる企業はまだ非常に少ないそうだが、今後の大きな方向性としては「IDをしっかりと管理したりガバナンスを効かせていくことで実現すると思っています」(桐原氏)とのことだ。
DXにおけるサイバーセキュリティ
最後のテーマは、DXにおけるサイバーセキュリティだ。
DXの定義を桐原氏は、「我々が普段生活しているフィジカル空間、サイバー空間に加え、サイバー空間とフィジカル空間を繋ぐサイバー・フィジカル空間といって、例えばIoT機器などを含みますが、この3層を有機的に結合させてシームレスに活用していくというのが、基本的にはDXの考え方です」と解説した上で、「今後はサイバー空間やサイバー・フィジカル空間をより活用していくことが、非常に重要と思っています」と、その重要性を指摘した。
そのセキュリティ対策に関して、サイバー空間における不正アクセスや情報の窃取、通信傍受といったリスクを指摘しつつ、「この3層をしっかりと守っていく、かつ有効に活用していくことが、非常に重要な論点になってくると思います」(桐原氏)と語る。
桐原氏は少し将来的な話として、スマートモビリティやスマートワーク、スマートシティなど、モノのスマート化が加速していく「スマートX」に触れ、「これらがどんどん増えてくる中で、企業がその分野でビジネスをしていくためには、よりセキュアな環境が当然ながら求められます」と指摘する。
スマートXでは、これまでのような情報窃取などにとどまらず、「生命の危機に影響するものもたくさんあります」と桐原氏は警鐘を鳴らす。
例えば、自動運転の車がハッキングされる、スマートヘルスのデバイスが持つ情報が書き換えられるといったリスクだ。「いろいろな脅威が増えていますので、今まで以上にサイバーセキュリティが重要になってくると思っています」(桐原氏)。
桐原氏はスマートモビリティを例に取り、車両自体やモビリティサービス、MaaS、モビリティ機能を追加するサービスといった各層で、「セキュリティを担保しながらビジネスモデルを作っていくことが、ビジネスの品質に関わると考えていますし、ここをしっかりとセキュアにすることが、安心・安全・品質に繋がり、ビジネスの成功にも繋がっていくと見ています」(桐原氏)とセキュリティ対策の重要性を説く。
講演の総括として桐原氏は、「これからの時代はスマートワークであれスマートモビリティであれ、よりサイバー空間を使わなければならず、サイバーセキュリティを重要なアジェンダとして捉えていていくことが、非常に重要と思っております」と力説した。