サイバーセキュリティ対策は完全防御より回復力。
侵入前提の進め方
手口が多様化・巧妙化し続けているサイバー攻撃を「100%防ぐ」ことは不可能な時代となっています。どんなに高価なツールを入れても、会社内に防ぎきれない領域は必ず存在します。しかし、それは「何もできない」という意味ではありません。発想を「完全防御」から「回復力(レジリエンス)」へ転換し、予算配分を見直すことで対策は十分に可能です。
この記事では、DX(デジタルトランスフォーメーション)時代におけるセキュリティの現実的な対策と、コストを抑えながら「回復力(レジリエンス)」を高めるための具体的なアプローチについて解説します。
目次
DX推進が招いた、従来の対策では会社を守りきれない理由
働き方改革やDXが推進され、ビジネスパーソンの業務環境は劇的に便利になりました。しかし、その利便性の裏側で、企業のセキュリティを取り巻く環境は激変しています。まずは、なぜ従来のやり方では会社を守りきれなくなったのか、構造的な変化を理解する必要があります。
「境界防御モデル」が消滅しつつある
かつては「社内ネットワーク=安全」という前提のもと、社内と社外の境界線にVPN(仮想専用線)などを設置して守る「境界防御モデル 」が主流でした。しかし、テレワークの普及で自宅からのアクセスや、業務データをクラウドに保存することが当たり前になった現在、境界は消滅しつつあります。
境界の概念が曖昧になる中で、「社内からのアクセスだから安全」という発想は現実に即していません。VPN機器自体の脆弱性を突かれてランサムウェアが侵入するケースも急増しており、従来の「境界防御モデル 」は意味をなさなくなっています。そのため、現在のセキュリティ対策では、「すべてのアクセスを信頼せず、常に検証し続ける」というゼロトラストの考え方が必須となっています。
中小企業はセキュリティ対策 の徹底がビジネスの取引条件となる
現在は、中小企業こそ、「セキュリティ対策の徹底」がビジネスを継続する上で必要な条件となっています。なぜなら、セキュリティが堅牢な大企業を直接攻めることは難しいと判断した攻撃者は、セキュリティ対策が手薄な中小企業を踏み台にして大企業へと侵入する「サプライチェーン攻撃」を常套手段としているからです。
実際に、大手メーカーや流通企業などの発注元は、取引先に対して「セキュリティチェックリスト」の提出を義務付けるケースが増えています。もはやセキュリティ対策は、単なるリスク回避ではなく、商流に残り続けるための経営課題となっているのです。
100%の防御は不可能なため、回復力(レジリエンス)への転換が必要となる。
サイバーセキュリティにおいて目指すべきは、「100%の完全防御」ではなく、侵入を前提とした「回復力(レジリエンス)」の強化です。
そのため、ウイルスに感染しないことだけに固執してコストを浪費するよりも、「たとえ感染しても重症化させない」基礎体力をつけることが重要です。これからの時代は、侵入されることを前提とし、被害を最小限に抑えて事業を止めない体制づくりへと転換する必要があります。
高価なツールを導入しても現場が破綻する理由
これまでは「高価なツールを導入すれば安心」という認識もありましたが、現場ではツールを入れたことによって、かえって運用が破綻するケースも散見されます。なぜ、ツール導入だけでは現在のセキュリティ対策に不十分なのか、その理由を見ていきましょう。
SaaS増加によって、権限のリスクと属人管理が大きな課題になっている
SaaSの利用が増加するDX時代において、ツール導入以上に急務なのは「ID管理(認証基盤) の整備」と「運用の設計」です。現在は、従業員一人が数十個のIDを持つようになっており、手作業でのパスワード管理や権限設定は限界を迎えています。
現場では「パスワードを紙の付箋に書いてPCに貼る」「退職者のアカウントが削除されずに残っている」といった、危険な属人管理が根強く残っています。高機能なセキュリティ製品を導入する前に、まずは「誰が・どのデータに・どんな権限でアクセスできるか」を制御するID管理を徹底しなければ、大きなセキュリティホールを残したままとなるでしょう。
生成AIやシャドーITによる、意図しない情報漏洩が起こり得る
従業員の「性善説」やリテラシー教育だけに頼るのではなく、意図していなかった情報漏洩(ヒューマンエラー)をシステム側でカバーする仕組みも不可欠です。
従業員は、会社が管理していないIT機器やサービスを使ってしまうことがあります。このようなシャドーITの使用のほか、生成AIへの機密情報の入力などによって、情報が学習データとして外部へ流出する事故も起きています。教育は重要ですが、危険なウェブサイトへのアクセスを自動でブロックしたり、機密情報の入力を検知して警告を出したりする技術的なガードを設置することのほうが、事故を防ぐ上で有効です。
社内担当者では管理しきれない状況に陥っている
社内の人的リソースだけで運用を完結させようとするセキュリティ対策は、いつかは管理の限界に達してしまいます。複数のツールを導入すればするほど、日々通知されるログやアラートの量が膨大になり、少人数の担当者では物理的に処理しきれなくなるからです。
その結果、「アラートが鳴りっぱなしで放置される」「具体的に何が起きているか把握できていない」という状況に陥ります。高価なツールを入れても、それを監視・判断できる体制がなければ、リスクに気づくことさえできないのが実情です。
限られたリソースで実現するサイバーセキュリティ対策
「セキュリティ向上の必要性は理解しているが、予算も人も増やせない」というジレンマを抱える方は多いのではないでしょうか。担当者や経営層がとるべき対策は、真正面から予算増額に舵を切ることではなく、「コストの配分を変える」というアプローチです。
VPN費用を原資とした「コストの付け替え」を行う
まずは予算を増やすのではなく、既存のセキュリティコストを見直して再配分する「コストの付け替え」を行いましょう。テレワーク普及で逼迫したVPN回線の増強や、専用線にかかる高額なランニングコストは、ゼロトラスト環境では不要になる可能性があるからです。
具体的には、VPNや閉域網の費用を削減し、その浮いた予算を原資として、社内を経由せず直接クラウドへ安全にアクセスする「SWG(Secure Web Gateway) 」や、エンドポイントでの検知と対応を行う「EDR(Endpoint Detection and Response) 」などへの投資をおすすめします。予算を純増させるのではなく「付け替える」という発想を持つことで、トータルコストを抑えながら、今の時代に即したセキュリティ強化が可能になります。
すべてを守るのではなく、「BCP(事業継続)」視点で守るべき資産を絞り込む
すべての情報を均一に守ろうとせず、「選択と集中」によってリソースを配分すべきです。リソースが限られている中小企業において、全方位的に防御を行おうとすれば、コストが高くなり対策が頓挫してしまう可能性もあるでしょう。
そこで基準としたいのは「BCP(事業継続計画) 」の視点です。「情報漏洩が起きたら困る」という漠然とした基準ではなく、「このシステムが止まったら出荷停止に陥る」といったコア業務を特定してください。最重要な資産に予算と人を集中させることで、現実的かつ効果的な防御体制を築くことができます。
24時間365日の監視をどう実現するか
サイバー攻撃は、担当者が不在の時間を狙ってきます。24時間365日の監視はどうすれば実現できるか、具体的な対策を見ていきましょう。
SOC/MDR活用で属人化と遅延を防ぐ
サイバー攻撃への監視は社内担当者だけで対応しようとせず、セキュリティの専門家が監視を代行する「SOC/MDRサービス」を活用しましょう。サイバー攻撃、特にランサムウェアは、担当者の対応が遅れる「金曜日の深夜」や「連休前」を狙って実行される傾向があるからです。
自社で深夜や休日に監視対応を行う人員の雇用はコストとして非現実的ですが、外部サービスであれば、雇用よりも低コストで24時間365日の監視体制を手に入れられます。「月曜日の朝に出社したら手遅れだった」という最悪の事態を防ぐためにも、監視業務のアウトソースは有効な手段です。
現状のギャップを可視化し、段階的に進める
いきなり高価なツール導入を決断するのではなく、まずはアセスメント(外部による現状調査)で「自社が置かれている現状」を可視化することも大切です。現状の弱点やギャップを把握しないまま対策を進めても、優先順位を見誤り、投資が無駄になるリスクが高くなります。
例えば、経済産業省のSCS評価制度(セキュリティ対策評価制度) の評価項目を見越したガイドラインに基づき、「ここは対応できている」「ここには穴がある」と客観的に採点してもらうことも有効です。まずはID管理などの基礎から始め、次にEDR導入、ログ監視といったように段階的なロードマップを描くと、無理なく着実に対策を進めることができます。
SCS評価制度への対応の順序
経済産業省によるSCS評価制度 へ対応する際は、まず自社のアセスメントから着手を進めておきましょう。SCS評価制度の基準となるガイドラインに対して、自社が現在どのレベルにあり、何が不足しているのかを正確に把握しなければ、的確な投資や対策が打てないからです。
いきなりすべての対策を完璧きに行う必要はありません。SCS評価制度に対して伴走してくれるパートナー企業に客観的な基準で自社の状態を採点してもらい、「できている点」と「穴がある点」を可視化すれば、手を付けるべき優先順位が明確になります。本格的な審査や取引先からのチェックを受ける前に、まずは自社の立ち位置を知り、無理のないロードマップを引くことをおすすめします。
SCS評価制度については、こちらの記事「SCS評価制度(セキュリティ対策評価制度)とは?認定への対策法も解説 」でも詳しく解説しています。
コニカミノルタジャパンが提唱する「攻めのセキュリティ」
サイバーセキュリティ対策は、もはや「コスト」ではなく、企業がサプライチェーンの中で選ばれ続けるために必要な「投資」です。SCS評価制度を見据えて、自社の対策状況を客観的に証明できる体制を構築することは、ビジネス継続の必須条件となります。
SCS評価制度への対応を後押しするコニカミノルタジャパンは、10年以上にわたり働き方改革とDXを実践してきました。ツールの導入だけでなく、その過程で発生した「現場の反発」といった経験知も豊富です。コニカミノルタジャパンは単にツールを販売するだけでなく、評価制度への対応も見据えたアセスメントによる現状把握から、実現可能な計画策定 、従業員教育、そして運用定着までを伴走支援します。
なお、この記事で解説した内容は以下のサービス資料でも解説しています。企業がとるべきセキュリティ対策のステップなども紹介していますので、ぜひお役立てください。
