マンスリーレビュー

2020年6月号トピックス4デジタルトランスフォーメーション

ポストコロナ時代の情報セキュリティー

同じ月のマンスリーレビュー

タグから探す

2020.6.1

デジタル・イノベーション本部平野 賢一

デジタルトランスフォーメーション

POINT

  • コロナ禍での出勤停止でサーバー管理が困難に。クラウドへ移行が進む。
  • 在宅勤務者による情報漏えいへの対策も必要。行動分析システムが有用。
  • 状況変化に柔軟に対応するためセキュリティー要員の社内育成を。
新型コロナウイルス感染症の猛威により、企業や公共機関は在宅勤務支援をはじめとするさまざまな対応を迫られており、それらを支えるICTも追加施策や大幅な運用変更を求められている。今後訪れるコロナ禍後の社会(ポストコロナ)では、情報セキュリティーについても、社会情勢の変化に合わせた考慮が必要とされる。

例えばテレワークの導入が進むことで、一般従業員がオフィス外で社内情報を扱う機会が大幅に増えるだろう。そのための基盤としてリモートアクセスが容易なクラウドコンピューティングへの移行が加速する。サーバー運用担当者も出勤停止となれば、システムを自宅から操作することを許可せざるを得なくなる。これまで以上に自社設備(オンプレミス)サーバーを減らしてクラウドへ移行する企業が増えるだろう。

問題はリモートアクセスに伴い、これまで以上に情報漏えいが懸念される点である。IPAの調査※1によると情報漏えいのリスク要因は多岐にわたる(図)。その他、管理者に無断で外部サービスを利用するいわゆる「シャドーIT」もリスクの一つであり、操作ミスなどによって情報漏えいを招く恐れがある。人目が届かないところでの勤務が続くことでリスクが顕在化する可能性もある。これらのリスク抑制のため、近年注目される「UEBA※2」と呼ばれる行動分析システムや、クラウドサービスの利用状況を把握する「CASB※3」の導入も今後は進むだろう。

UEBAやCASBの導入は、ICTの専門知識をもたないユーザー部門が主導することが難しいことから、セキュリティー部門が中心となり、関係各所とコミュニケーションを強化しつつ進めることが肝要だ。その際のキーマンはICTと社内事情の両方に精通したセキュリティー人材となる。特に「どの部署が重要情報を保持しているか」などの社内事情に通じる人材は、セキュリティー対策を検討する上でとりわけ重要である。セキュリティーベンダーのような社外要員に業務を委託すると、この部分の配慮が抜け落ちてしまう。ポストコロナの流動的な社会情勢に対処していくためにも、社内事情に詳しいセキュリティー人材を早急に育成する必要があろう。

※1:情報処理推進機構(IPA)「内部不正による情報セキュリティインシデント実態調査」(2016年3月)。

※2:User and Entity Behavior Analytics。さまざまなサーバーのアクセスログや通信設備のログなどを集約・分析することで、利用者の不審な行動を検知する仕組み。「異常行動」を検知することができるため、内部犯対策だけでなく外部からのサイバー攻撃を検知する施策としても効果が高く有用である。

※3:Cloud Access Security Broker。クラウド環境下でのセキュリティーポリシーを保つために提唱された概念。

[図]内部不正の経験者・聞いたことがある回答者における不正の内訳

関連するナレッジ・コラム

関連するセミナー