セキュアなDXを成功させるために組織に必要なこととは

DX推進下でのインシデント経験は約35.2% セキュアなDXを成功させるために組織に必要なこととは

　昨今、デジタル技術のさらなる発展や普及に伴い、世界各国の様々な産業にてこれを活用して既存ビジネスモデルの変革を行う「デジタルトランスフォーメーション（以下DX）」によるゲームチェンジが発生しています。
日本企業も競争力を強化するべく、DXによって新しい価値を創造することが求められていますが、新しい技術やビジネスにおけるサイバーセキュリティ対策については熟慮する必要があります。

トレンドマイクロでは、国内法人組織を対象に、DXの推進状況とDX推進にあたってのセキュリティ上の課題を調査^※1し、レポートにまとめました。DX成功に向けて、組織はどのような対応が必要となっているのか、そのヒントを調査結果から探ります。
※1民間企業および官公庁自治体において、DX推進に業務として関わっている担当者を対象にインターネット調査を2021年9月に実施。サンプル数315。

DXを実現できている組織は全体の約25%
「上層部のリーダーシップ」が鍵経済産業省が2018年に公開した「デジタルトランスフォーメーションを推進するためのガイドライン（DX推進ガイドラインVer1.0）^※2」では、DXは「企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること」と定義しています。
※2　出典：経済産業省「デジタルトランスフォーメーションを推進するためのガイドライン（DX推進ガイドラインVer.1.0）」

しかし、この本来の意味でのDXまで到達している企業はわずか25%、多くの企業は、従来紙でやり取りしていた文書の電子化など、いわゆる「デジタイゼーション」にとどまっていることがわかりました。

本来の意味でのDXを実現させるには、経営層が経営戦略やビジョンに基づき、組織内の従来の仕組みや体制を抜本的に再構築することが求められます。本調査においても、経営層のリーダーシップができている組織ほどDXが成功している割合が大きくなる、顕著な結果が出ています。
経営層のリーダーシップが「できている」と回答した組織においてはDXが「成功している」割合が約84.5%であるのに対して、経営層のリーダーシップが「あまりできていない」組織の場合は「成功している」割合が約37.3%でした。経営層のリーダーシップがDXの鍵を握っています。

最も多いセキュリティインシデントは
業務提携先に関する情報漏えいDXを推進する企業のうち、約35.2%がDX推進の中でセキュリティインシデントを経験しています。そして、その被害内容は「業務提携先に関する情報漏えい（約36.0%）」が最多となっています。

DXを推進する上では、新しいデジタル技術を導入し、それを業務プロセスの中に取り込んでいくことが求められます。この状況下においてセキュリティインシデントが発生すると、これまでもしくは新しく企画した業務プロセスに何らかの問題が発生し、状況によっては業務を一時中断する判断が求められます。そのため、デジタル技術の導入に合わせてサイバー攻撃のリスクに備えたITのBCPも併せて検討していく必要があります。

さらに、インシデントはまだ発生していないものの、DX推進にあたっては実に「9割以上がセキュリティに不安を感じている」ことも浮き彫りになりました。企業でDX推進業務に携わる担当者が実感しているセキュリティ面の不安、懸念とはどのようなものなのでしょか。

セキュアなDX成功の鍵は
「プラスセキュリティ人材」の育成企業が懸念を感じているセキュリティ対策として下記が挙げられました。

「セキュリティ戦略の策定」(30.6%)
「セキュリティポリシーの作成」(28.1%)
「人材の確保」(24.7%)

セキュリティ戦略やセキュリティポリシーは、組織における業務プロセスやネットワーク・システムの構成・情報資産などを考慮した上で企業ごとに適した指針を定める必要があります。
そして、DX推進に関わる全ての従業員がその目的や自社の事業構造を理解した上で、セキュリティ戦略やセキュリティポリシーと結び付け、どのように現場に落とし込んでいくかを検討していくことが必要です。

上記の課題を解決しDXを成功させていくには、「自社の事業構造やビジネスを理解しながらセキュリティ対策を実践できる」いわゆる「プラスセキュリティ人材」が必要です。これは、セキュリティ専門人材だけではなく、サイバーリスクが生じる可能性のある業務を担っている部門においても、本来の業務知識に加えて、サイバーリスクに関する知識やセキュリティスキルを身につけた人材を配置する必要があるということです。

調査の結果では、プラスセキュリティ人材が「十分にいる」と回答した組織は約14.3%に留まりました。DX推進において自律的なセキュリティ対策の策定について課題を抱える企業においては、セキュリティ専門人材の確保だけでなく、「プラスセキュリティ人材の確保」が必要です。

経営者は、DX推進のリーダーシップに加え、プラスセキュリティ人材の必要性を理解したうえで、今後、その採用や育成に注力していくことが求められています。
調査結果の詳細については、「DX推進における法人組織のセキュリティ動向調査」をご一読ください。また、DXにおけるセキュリティ戦略の策定に役立つレポートも公開しております。DX推進へ向けた戦略立案の参考になれば幸いです。