- 目次
- DX推進による実現性・計画性について
- 実現性の検証方法についてと考慮点
- DX時代のセキュリティにおける課題・リスク
- セキュリティの観点が抜けた危険なDXをとならないために
- セキュリティと利便性の両立
- 最後に
DX推進による実現性・計画性について
DX推進において、企業が成長するための新たなアイディアをシステムで実現させるためには、どのような手段(活用データ、利用技術)で実現するか、どのような取り組み(新たなアイディアを利用したプロセスの改善、その新たなアイディアを活用しやすい組織づくり)を計画するか、道筋を立てていく必要があります。
その中で必要な能力として、実現性については、「なにか新しいことを始める際に、それが成功する見込みがどのくらいあるのかを見極める能力」、計画性については、「実現したいことを達成するために、必要な工程や目標達成を阻害するリスクへの対処法などを明確化する段取りの能力」といったものが求められます。
なお、DX推進において、実現性を検証する手順として、PoCがありますが、次はPoC活用のポイントについて紹介していきたいと思います。
実現性の検証方法についてと考慮点
第1回コラムで近森氏が「DX推進リーダー人材を育成するために必要な5つの基礎能力」の定義を紹介してくれましたが、その中の1つである「実現性・計画性」の説明の中に、PoC (Proof of Concept)というキーワードがあります。
PoCとは、直訳で「概念実証」という意味になりますが、具体的には、新規アイディア・利用技術・想定システムが、実際に実現可能かどうかを検証します。
検証については、実際に想定する運用環境で実施し、費用対効果の確認、利用者の反応(ユーザビリティの確認)、技術的課題の洗い出しなど、PoC対象のシステムやサービスが、ビジネスとして有用なのか、実現可能であるかを検証します。
DX推進にPoCを活用する場合は、PoCの明確なゴール設定や、その後の運用を見通した全体的な視点が必要です。ゴールが明確になっていない場合は、実際の運用に適用する観点や、システムやサービスを利用する利用者の視点が欠け、PoCの実施が意味のないものになってしまいます。PoCを成功させるためには、PoCを実施することが目的とならないように、明確な目的をもって実現性を検証していく必要があります。
また、運用等を含めた全体的な視点として大切な観点の一つに、セキュリティの観点も必要だと考えています。
PoCは、システムやサービスの機能や利便性、ビジネスとしての利益に着目してしまいがちなので、実際に運用する際の、セキュリティ対策についての検証がごっそり抜けてしまうケースがありえます。その結果、実際の運用で重大なセキュリティ事故を発生させてしまう、といったことが起こり得てしまう可能性もあります。
そのような結果にならないよう、次に、DX時代のセキュリティにおける課題やリスクについて、紹介していきたいと思います。
DX時代のセキュリティにおける課題・リスク
従来のセキュリティ対策では、社内ネットワーク、オフィス内といった信頼できる「内側」と、インターネット上の社外ネットワークといった信頼できない「外側」とで境界線をおき、その境界線でセキュリティ対策を実施するというものが一般的でした。
ただ、DX時代では、リモートワーク、クラウドサービス、IoT機器、モバイルの活用、利用者、利用システム、利用機器などが場所にとらわれない運用が実現されるため、「外側」である社外ネットワークやオフィス外に、守るべき情報資産が多数ある状況がありえます。
このように、守るべき情報資産がさまざまな場所に入り乱れているような状態になったことで「内側」「外側」の境界が曖昧になり、従来のセキュリティの考え方では十分な対策を実施することが難しくなってきています。
また、DX推進により、リモートワークを許容する場合なども、利用システムにアクセスする利用者の作業場所(オフィス内、リモートワーク)や、利用システムの存在場所(社内システム、クラウドシステム)が異なり、システムにアクセスする場所・方法も多様化することで、システムを利用する際の認証方法が複雑化し、システムを利用する利用者の利便性が落ちてしまうことも考えられます。
セキュリティの観点が抜けた危険なDXをとならないために
前述の通り、「内側」「外側」の境界が曖昧となり、従来のセキュリティの考え方では十分な対策を実施することが難しくなってきていると説明いたしました。ここで観点として押さえておきたいのは、ゼロトラストによるセキュリティ対策です。
ゼロトラストセキュリティとは、その名の通り「すべてを信頼しない」ことで、守るべき情報資産にアクセスするもののすべて信用をせずに、脅威が潜んでいることを前提とする考え方です。
具体的にどのような対策をするかというと、システムで利用するネットワーク(通信経路)の暗号化、システムにアクセスする際に多要素認証を利用するなどの認証の強化、脅威検知のためのシステムに係わるログの収集・監視などが挙げられます。
ただし、ゼロトラストセキュリティがカバーする領域は幅広いため、DX推進と共にゼロトラストセキュリティを取り入れようとしても、何をどこからどう着手してよいのか悩んでしまうことが多いのが実態です。
ポイントとしては、何から何までゼロトラストセキュリティの考え方を取り入れて、一斉に設備を変更したりせず、段階的に計画性をもって取り組んでいくことが重要だと考えています。
セキュリティと利便性の両立
DX時代のセキュリティにおける課題について、利用者の利便性について損なわれてしまうケースもあるといった内容も述べました。
具体的には、利用する複数のシステムで認証方法が異なる、システムを利用するたびに都度認証が何回も発生する等、新システム導入後に利用者の強い反発が発生する可能性もあります。
DX推進によるセキュリティ対策が、ビジネスを阻害(利用者の生産性低下を)しないために、PoCを実施する際は、セキュリティ対策を実施した場合に発生するであろうUI/UXの変更を取り込んだ形で、実現性(利用者の反応)を確認したほうが良いと考えられます。
確認の結果、利用者の反発が多数起きるようであれば、実運用の開始前に、認証操作の煩わしさを軽減するSSO製品の導入等、計画に盛り込むといったことも必要になってきます。
このようにPoC実施時には、セキュリティに関連する内容を考慮して、実現性の検証および、検証結果の課題対策の計画を行わなければ、セキュリティも十分ではなく、利用者の利便性も落ちてしまう結果が待っています。
セキュリティと利便性はトレードオフの関係にあると言われており、なかなか対策が難しい問題ですが、PoC実施の際は、セキュリティや利便性といった内容も考慮した検証が必要だということを理解しておいてほしいです。
最後に
DX推進による実現性の検証、計画の立て方について、セキュリティ観点として、前に述べた内容の他に、以下のようなことも考慮する必要があると考えています。
・IoT機器を利用する場合のIoT機器の管理の方法は?管理者は?
・社内システムにアクセスできるモバイルを、社外に持ち出すときのルールは?
・クラウドサービスを利用するときのルールは?私用PCでアクセスOK?
・テレワーク時に利用するネットワークは、どのようなネットワークなら接続OK?
上記の例は少し具体的すぎる内容になってしまいましたが、利用者による不注意・怠慢・悪意によるセキュリティ事故のリスク軽減策として、上記の内容を考慮した社内ルールの策定や、ルールを強制するセキュリティ製品の導入等も考えられます。
ただ、限られた予算の中では、そういったセキュリティ製品の導入ができないこともあるでしょう。
セキュリティ製品導入等によるルールの強制できなくとも、利用者のセキュリティ教育を十分に実施することで、利用者の行動に起因するセキュリティ事故のリスク軽減ができると考えています。そのため、DX推進時には、利用者のセキュリティ教育に関しても事前に計画として立てておくことが必要になってきます。
最後になりますが、セキュリティに関する考慮漏れによる、DX推進失敗とならないよう、「実現性・計画性」を考えるうえで、セキュリティという土台や、利用者の利便性を後回しにしてはいけないということを、認識しておいていただけますと幸いです。
連載一覧
筆者紹介
株式会社アークテック DXビジネス推進センター システム開発課 課長
1982年生まれ。神奈川県出身。情報処理安全確保支援士。
入社後より大手SIerでシステム開発を担当。
数多くの開発経験を積み重ね、現在では、サイバーセキュリティに関する専門的な知識・技能を活用してセキュリティにかかわる製品の企画開発を行う。
コメント
投稿にはログインしてください