DX時代に必要となる新しいビジネスリスクにどう立ち向かうべきか法律、プライバシー、人権問題

データとテクノロジーを活用して、新たなビジネス価値を生み出す「デジタルトランスフォーメーション」(DX)が企業の重要な経営課題となる一方、ビジネスの基盤となるシステムの「セキュリティ」を確保する難しさは急速に増している。NEC サイバーセキュリティ戦略本部 セキュリティ技術センター センター長を務める淵上真一氏に、DX時代のセキュリティ対策に必須とされる「Security By Design」の考え方と、それに向けたNECの取り組みを聞いた。

» 2020年02月07日 10時00分 公開
[PR/@IT]
PR
NEC セキュリティ技術センターの淵上真一氏 NEC セキュリティ技術センターの淵上真一氏

 次々と登場する新たなテクノロジーが、社会のあらゆる領域を変化させていく時代において、企業はデータとテクノロジーを駆使しながら、既存の製品やサービス、ビジネスモデルを変革していく「デジタルトランスフォーメーション」(DX)を迫られている。デジタル技術が既存市場の姿を短期間で一変させる現実を前に、DXの実現は企業が将来にわたって競争力を維持し続けるための必要条件であり、重要な経営課題の一つといえる。

 それと同時に、ビジネスの基盤となるITシステムの「セキュリティ」を、旧来と同様の手法で維持し続けることが難しくなっているのも事実だ。こうした状況に対応するために「Security By Design」と呼ばれる考え方が改めて注目を集めている。

 NEC サイバーセキュリティ戦略本部 セキュリティ技術センター センター長を務める淵上真一氏は、「Security By Designをどう捉えるべきか、なぜそれがDX時代に必須なのかを考えるに当たっては、まず『そもそもDXとは何なのか』について考えてみてほしい」と話す。

「イメージの具体化」から始まるDXへの取り組み

 近年「DX」という言葉は、企業の経営戦略としての文脈で語られることもあれば、社会全体の潮流を指すものとして使われることもある。その定義は、DXを語る主体によって千差万別だ。淵上氏は「DXの定義とされているものは多くあるが、それにどう取り組むかを主体的に考えていく際には、ある程度の共通認識が必要になるはず」とする。DXを具体的にイメージするために、淵上氏が提案するのが「現在、DX企業と呼ばれているところが、実際には何をやっているか」という視点から、実体を理解しようとする方法だ。

 例えば、ネットサービス企業の代表格の1社である「Amazon.com」では、ITを駆使した「販売予測」「在庫管理」「サプライチェーン管理」「レコメンデーション」「収益最適化」のような手法を実践し、これらを組み合わせることで、ECサイトでの商品販売価格をリアルタイムに変動させている。これを見ると「旧来の企業では、それぞれの専門家や部門が、ITの助けを借りながら手分けし、人力で取り組んできたことを、デジタルの力で自動化、最適化している」というイメージを持てるのではないだろうか。

 また淵上氏が最近、最も強い実感を伴って「DXを象徴している」と感じたのが、タクシー会社による「スマホ向けの配車アプリ」だという。

 「地図情報や位置情報、決済情報を扱うシステムは、これまでも個別に存在していた。しかし、それらが組み合わさり、連携することで『スマホを使ってタクシーを呼べる』という新しいサービスになっている。ユーザーの今いる場所が、リアルタイムにデジタルの世界に投影され、走行中のタクシーに向かって手を挙げる代わりに、スマホの画面をタップすれば車がやってくる。こうした、デジタルとフィジカルを融合させた新たなユーザー体験が、DXの具体的な側面の一つではないだろうか」(淵上氏)

DX時代に難易度を増す「セキュリティリスク」への対応

 DXより前の世界においても、システムやデータのセキュリティは重要だった。しかし、DXの時代においては、次々と生み出される新しいデバイス、インフラ、技術、開発手法を組み合わせてシステムを構築し、その上でデータを処理することが求められる。企業がDXを実践していくに当たって、そこにどのようなセキュリティリスクが存在するかをあらかじめ考え、事前に手を打てる体制を作っておくことが「DX時代のSecurity By Design」を実践するための出発点となる。

 淵上氏は、DXを指向する企業には今後「『Security By Design 3.0』と呼べるような、新しいリスクマネジメントの考え方が求められるのではないか」とする。では、この「“第3世代”のSecurity By Design」とは、どのようなものなのだろうか。

 そもそもSecurity By Designという言葉は、NIST(米国立標準技術研究所)が2008年にまとめた「情報システム開発ライフサイクルにおけるセキュリティの考慮事項」(SP 800-64 Revision 2)と呼ばれる報告書が原点とされている。これを受け、日本においても、NISC(内閣サイバーセキュリティセンター)が、Security By Designを「製品やサービスの企画/設計段階からセキュリティ対策を組み込んでおく」考え方として提唱、推進している。

 これに基づくことで、より低コストでセキュリティ対策を行い、保守性の高い成果物を作り上げることができる。特にシステム開発の領域では、主にウオーターフォールの開発プロセスにおける初期フェーズからセキュリティ要件を明確にし、設計と実装を通じて「脆弱(ぜいじゃく)性を生まない」ことを目指すことがSecurity By Designと捉えられている。

 「ITシステムの脆弱性が運用段階で見つかった場合、設計段階で見つけた場合と比べ、修正対応コストが100倍にもなるといわれている。システム開発におけるSecurity By Designは、コストの損失を低減する意味でも重要な考え方になっている。こうした“脆弱性を生まない”ことを目指したSecurity By Designは『第1世代』に当たり、既に限界が見え始めている」と淵上氏は言う。

 さらに淵上氏は「現在は他のシステムとの組み合わせや、エンドユーザーによる想定外の使い方によって、深刻な問題が発覚するケースが増えてきている。単体システムの脆弱性を設計段階からなくすという考え方だけでは、複数のシステムが連携する“サービス全体でのセキュリティリスク”を回避するのが難しくなっている」と指摘する。

 同様に、現在既に起こっている状況として「消費者やユーザーの“プライバシーリスク”を考慮したシステムやサービスの開発」への要求がある。淵上氏は、これを「Privacy By Design」(プライバシー・バイ・デザイン)と表現する。いわば「“第2世代”のSecurity By Design」だ。

 この状況を最も端的に表しているのが、EUが2018年に施行した「GDPR」(General Data Protection Regulation:一般データ保護規則)だ。個人データやプライバシーの保護に関して厳格に規定されたこの法律が施行されたことにより、多くのWebサイトでは、Webブラウザを通じてユーザーの情報を保存し、再利用するCookieの扱いに関する利用許諾の仕組みを急きょ実装する必要に迫られた。こうした「個人情報保護」の動きは、EUだけではなく、今後日本を含む世界各国で加速していくとみられている。

 「企業は、個人のプライバシーに関わるデータをどのように扱うか、それによって、法律上、どのようなリスクが想定されるかといったことまでを考えてサービスを作る必要がある。今後も、考慮しなければならないポイントは増え続け、もし事前の想定が甘ければ、訴訟による賠償金の支払いやブランド失墜といった深刻な損失を生むことにつながりかねない」(淵上氏)

 現時点での想定が難しいことを「仕様」として設計段階からシステムに組み込むことは“至難の業”であり、事実上“不可能”に近い。こうした限界を打破するのがSecurity By Design 3.0の考え方に基づいた開発プロセスだという。

Security By Design 3.0を視野に入れたNECの取り組みと「リスクハンティングチーム」

 DXの世界では、システムを構成する技術も、開発手法も、想定すべきリスクも、短期間で変化していく。淵上氏は「そうした時代においては、個々のシステムではなく、その間を行き交う“データ”にフォーカスして、その設計にSecurity By Designを適用していくことが重要になる」と指摘する。

 「今後は、『あるユーザー体験を具現化するために、どのようなデータが必要で、データがどこにあるシステムで、どのように処理されるのか』という視点での“データ設計”が重要になる。セキュリティを考える際にも、個々のシステムの“脆弱性”や境界防御に注目するのではなく、サービス全体でデータを扱う際に想定される“リスク”を考慮した、いわば“ゼロトラスト”な設計が求められるようになる。これを実践することで、構築の技術や手法、社会環境といったさまざまな“変化”に強く、同時にセキュリティリスクの少ないサービスを開発できる」(淵上氏)

 淵上氏の言う「データ中心のSecurity By Design」つまりSecurity By Design 3.0を適用した開発には、従来のウオーターフォール型のシステム開発とは異なる、アジャイル/DevOpsやマイクロサービスに関するスキルが求められる。NECでは、既にSecurity By Design 3.0を視野に入れた開発スキームの構築に取り組み始めている。

 具体的には、これまでに担当した過去の開発案件を、データを中心とした視点で見直し、作り直しているという。この取り組みでは、システムの脆弱性に加えて、法律やプライバシー、アクセシビリティー/人権問題といった観点から、より総合的に“リスク”を判定する「リスクハンティングチーム」を組織し、サービスで扱うデータに潜むさまざまなリスクを洗い出すといったことも行っている。

 「情報セキュリティに詳しいだけではなく、ITを取り巻く法律や社会状況から総合的にリスクを判定できる、DX時代に即したセキュリティ人材の育成と、新しい開発スタイルの確立を視野に入れている」(淵上氏)

DX時代のSecurity By Designをテーマとしたセミナーを開催

 NECでは、2020年3月2日に「DX時代におけるSecurity By Designの必要性」に関するセミナーを開催する。当日はNECのSecurity By Designに向けた取り組みをより詳しく紹介する淵上氏の講演の他、経済産業省 商務情報政策局 サイバーセキュリティ課 企画官 鴨田浩明氏による基調講演も行われる。

 特に注目したい講演は、広島県で情報戦略総括監 DX推進本部 副本部長を務める桑原義幸氏、WHITE MOTIONのCEOである蔵本雄一氏、NEC淵上氏の3者による「DX時代のSecurity By Design」をテーマとしたパネルディスカッションだ。

 ITベンダーやコンサルティング企業でITによるユーザーのビジネス変革をサポートする立場から、自治体のIT戦略を支援する立場となった桑原氏。カーシステムのセキュリティに関わるソフトウェア開発、製造、販売、コンサルタント業務を通じて「自動車のSecurity By Design」に取り組んでいる蔵本氏。そこに淵上氏を加えた3人が、DX時代のビジネスリスクをどう捉え、どのような課題感を持っているのかについて、ディスカッションを通じて共通項を探っていく予定だ。

 淵上氏は「企業のDXを推進する立場にある皆さんが、DXに向き合う視点を確立するのに役立つセミナーになるはずだ」と話す。経済産業省の「DXレポート」(*)は、DXが進まなければ、国際競争への遅れや経済の停滞などから2025年以降に年間12兆円の経済損失が生じる可能性があると警告しており、これを「2025年の崖」と表現する。この「2025年の崖」に立ち向かう経営者はもちろん、企業のIT戦略立案やシステム開発に携わる担当者にとって、有用な知見を得られる貴重な機会となりそうだ。

*「DXレポート 〜ITシステム「2025年の崖」克服とDXの本格的な展開〜」(経済産業省)

※記事で紹介したセミナーは、新型コロナウイルス感染症の感染拡大の影響を鑑みて中止となりました。パネルディスカッションで語られる予定だった内容は、対談形式の記事として@ITにて掲載しています(こちら)。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:NEC
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年2月17日

イベント情報

このたび、新型コロナウィルスの感染拡大の影響を鑑みて、 ご来場のお客様、講師の方々の安全を最優先に考え、イベント開催を中止することといたします。

関連記事

デジタルトランスフォーメーション(DX)の時代において、企業には、多様なシステムを組み合わせながら、これまでにない新たな価値を生み出すことが求められる。同時に重要になるのは「ビジネスの基盤となっているITシステムの『セキュリティ』をどのように確保し、社会や消費者からの信頼を得ていくか」という問題だ。この難題について、NEC サイバーセキュリティ戦略本部 セキュリティ技術センターのセンター長である淵上真一氏と、WHITE MOTION CEOの蔵本雄一氏が対談を行った。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。