Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

DXとテレワークはセキュリティが課題

つぶやいてみた。

NRIセキュアテクノロジーズ社の新しい調査レポート(良レポートです)は、セキュリティ対策や人材確保が整わないうちにDXやテレワークが進んでいる日本企業の置かれている現状をよく表している気がします。

japan.zdnet.com

 

元ソース

 

キタきつねの所感

まだ元のレポートを入手出来てないのですが、リリースに出ている結果概要を見るだけでも日本企業が置かれている状況が「あまり宜しくない」事が分かります。

※以下NRIセキュアのリリースから図表を引用します。

f:id:foxcafelate:20201217060726p:plain

1.DX推進に伴い、セキュリティ対策の見直しを実施している日本企業は約2割

DX推進にあたり、「自社のセキュリティ戦略やルール、プロセスを見直しているか」を尋ねると、日本では「検討中」と答えた企業が59.0%と最も多く、「一部実施」および「実施済」はあわせて21.7%に留まりました(図1)。一方、米豪では7割を超える企業が「一部実施」「実施済」と回答しており、日本企業の対応の遅れが明らかになりました。日本企業は、セキュリティへの対応を課題と認識してはいるものの、実際は不十分な対策のままDXを進めてしまっている可能性が高いと考えられます。

NRIセキュアリリース記事より引用)

 

自分の会社でもDX推進が盛んに叫ばれていますが、「そう言えば・・」と思う部分もあります。きっと情シス部門は私が知らないだけで対応済だろうと・・・と信じています。

本業のセキュリティコンサルの立場で言うと、規定類の本格的な改訂サポートには相当労力がかかります。個人的な経験で言えば最低でも1か月~3か月程度かかる事が多いです。

DX推進は会社によって中身が違うと思いますが、かなり広範囲に影響が出る事を考えると、外部のサポートが無く、自社で全て規定改訂を対応していくとなると、想像ですが、半年級+の作業になる(専任の方が少なく、IT部門などの兼務サポートで対応する場合)のではないでしょうか。

しかし、「見直し実施済」の比率が約2割というのは正直かなり悪い数字です。これが単にルールが無いだけで、脆弱性レビュー(診断)やリスク分析が実務として廻っている企業なら良いかと思いますが、DX推進している部門がそうした「良いセキュリティ習慣を持っている」可能性は非常に低いかと思います。

 

だとすると、DXを推進したが故に脆弱性が出てしまいインシデントを発生させる国内企業が、来年あたりに出てきてしまう確率は相当高い気がします。

f:id:foxcafelate:20201217070209p:plain

2.約半数の日本企業が、新型コロナウイルス感染症拡大以降にテレワークを開始
テレワークに伴うセキュリティへの対応状況については、「セキュリティ要件を把握し、対策を行っている」(56.5%)が最も多かった一方、「要件を把握しているが、対策を行えていない」(31.1%)、「要件を把握していない」(8.0%)という回答もありました(図3)。
以上から、新型コロナウイルス感染症拡大を受けて、ビジネスを継続するためにテレワークが急速に広がったものの、テレワーク実施企業の約4割においては、テレワークのためのセキュリティ対策が追い付いていないことがわかります。

NRIセキュアリリース記事より引用)

 

こちらも気になるデータです。4月~5月の緊急事態宣言の頃から考えると、半年以上経過して、テレワークを実施している企業の「まだ4割」はセキュリティ対策が追い付いて無いという状況は、今年いくつもの日本の大手企業がVPN装置の脆弱性などを突かれてインシデント発表していた事を考えると、怖いものがあります。

コロナ禍において働き方が変化し、テレワークネットワークへの重要度が去年に比べてはるかに高まっている中、テレワークネットワークが攻撃者(ハッカー)から狙われており、大きなビジネス(主に身代金)となっている現状を認識して、恒常的なパッチ当て(パッチ情報の収集)を含む、テレワーク環境に対するセキュリティ対策の優先順位を企業(防衛)側が上げるべきかと思います。

 

自社セキュリティに問題を抱える中、サプライチェーン管理は、今後もっと問題になっていく気がします。

f:id:foxcafelate:20201217071438p:plain

3.日本企業のサプライチェーンのセキュリティ対策は、委託先企業や国外向けで課題
日本では、国内関連子会社に対しては71.0%国外関連子会社に対しては57.0%の企業が、セキュリティ対策状況を把握していると回答しました。米豪の企業についてみると、国内・国外関連子会社のいずれに関しても把握している割合が8割前後と、日本よりも高くなっています(図4)。

ビジネスパートナーや委託先企業に対してのセキュリティ統制状況についても、米豪では8割以上の企業がセキュリティ統制を実施しているのに対して、日本で実施している企業は、国内で51.9%、国外に対しては35.2%に留まる結果となりました(図5)。
日本のグローバル企業においても、サプライチェーンに起因したセキュリティインシデント(事件・事案)が近年相次いで発生していますが、以上の結果からパートナーや委託先企業に対するセキュリティ統制の強化が必要であることがわかります。

NRIセキュアリリース記事より引用)

 

国内関連企業に関しては辛うじて海外のデータと差分が少ないのですが、目の行き届きにくい海外子会社では、国内程にセキュリティ対策がきちんと管理されてないという結果から考えると、海外ハッカーの攻撃を受けて、海外拠点から国内基幹拠点へのサプライチェーン攻撃を受ける可能性が懸念されます。

海外展開している企業では、セキュリティ規定のグローバルスタンダート化に問題があるのだと思いますが、このギャップは、国内企業のセキュリティ担当(役員)が性悪説とも揶揄される事が多い、海外の厳しいセキュリティ基準をもっと取り入れていく事が必要になってきている気がします。

更に危ない傾向が出ているのが、パートナー企業や委託先企業のセキュリティ統制です。これも国内や海外企業に対してセキュリティポリシーが明確になっていない、あるいはコロナ禍を受けての改訂が遅れている事が影響しているのではないでしょうか。

 

DX推進、テレワーク推進は、今や企業にとって重要な経営課題ではありますが、その根幹には「with セキュリティ」、つまりセキュリティがあってのDX推進、テレワーク推進である事を認識しないと、近い将来にインシデント発表をしなければならなくなる羽目に陥るかも知れません。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 リポートのイラスト

 

更新履歴

  • 2020年12月17日 AM