デジタル時代に向けたリスク対策
完全に接続されたデジタル化の世界 – ビジネス、政治や行政、レジャーなどのさまざまな分野にわたり、ありとあらゆるものを縦横無尽につなぐユーバーネット(ubernet)というビジョンは、豊かな社会的恩恵の予感に満ちています。あなたが誰であろうと関係なく、これからは高速化・効率化が進み、より充足した生活が待っているとあちこちで囁かれるようになりました。
願わくば、そうであって欲しいと思います。Abdul Latif Jameel(アブドゥル・ラティフ・ジャミール)と同様に事業を営む方ならよく分かると思いますが、現代では製品やサービスをパーソナライズして、ターゲット層に驚くほど的確にアプローチできます。公共サービスの管理についても同様です。リアルタイムのユーザーデータを基にリソースを的確に割り当てて、シームレスな運営を行うことができます。また、患者の方は、Abdul Latif Jameel Health(アブドゥル・ラティフ・ジャミール・ヘルス)の記事で取り上げたヘルステック企業のイノベーション事例のように、遠隔モニタリングで医師に健康状態をチェックしてもらい、その場で治療法を処方してもらうことが可能です。さらに、ほとんどの人がオンラインで買い物をして、指定の時間通りに商品を玄関先に配送してもらった経験があるでしょう。あまりにタイミングが絶妙で、お店に心を読まれているような錯覚に陥るほどです。
もしかしたら、お店はある意味あなたの心を 読んでいたのかもしれません。そのお店がウェブを駆使してあなたの消費傾向を探り、データの足跡を辿って、あなた自身よりも早く結論を導き出していたのかもしれません。
実際のところはともかく、そのシナリオの先を追ってみましょう。
もし、そのお店がデータ侵害の被害に遭い、お店が保持していたあなたの個人情報が悪者の手に渡ってしまったらどうなるでしょう?
このシナリオのさらに先を考えてみましょう。
こうした場合、あなたは銀行、国会議員、司法省などの「システム」が助けてくれることを期待するかもしれませんが、そのシステム自体が、度重なるサイバー攻撃で弱体化していたとしたらどうでしょう?
こう考えていくと、突然、デジタル移行に胸騒ぎを覚えた方もいるかもしれません。その胸騒ぎは恐らく、デジタル社会への変革がもたらす危険に気づきはじめた数百万の人々も同様でしょう。ある調査では、仕事、家庭、行政でデジタル移行が進むにつれ、さまざまなリスクや搾取の可能性が潜んでいることが明らかになっています。
そうした懸念の一方で、デジタル移行の波はとどまるところを知りません。北米、アジア太平洋地域(APAC)、ヨーロッパ、中東、アフリカ(EMEA)における約1,000名のITリーダーを対象に実施された2023年デジタルビジネス調査(2023 Digital Business Study)では、意思決定権を持つリーダーの93%がデジタルファーストのビジネス戦略を推進していることが明らかになりました[1]。さらに、こうしたリーダーは、クラウドネイティブ プラットフォーム、サイバーセキュリティ・メッシュ、意思決定インテリジェンス、生成AIなどの最新技術に積極的に投資しています。
こうしたデジタルトランスフォーメーションを活用するには、事前にリスクを想定し、できる限りリスクを中和する土台を築いておく必要があります。なぜなら、脅威はすでに現実のものとして迫っているからです。2021年にサイバー攻撃の被害を報告している組織の割合は85%に上り、データ侵害による平均損害額は424万米ドルに達しています[2]。
来たるデジタルトランスフォーメーションが民主的かつ安全で、一部の人だけではなく多くの人の利益をもたらすためには、先を見据える目が必要でしょう。先を見越して初めて、私たちは常時接続され、ありとあらゆるものがつながっている便利な新しい世界を心から楽しむことができるのです。
リスク・マトリクス
デジタル化への道は、そのリスクを十分に理解し、影響を最小限に抑える戦略なしに着手すべきではありません。
世界的なビジネスコンサルティングファームのDeloitte(デロイト)は、組織がデジタルトランスフォーメーションにおいて陥りやすい主なリスク領域を次のように特定しています[3]。
- 技術:故障や障害が起きやすく、すぐに時代遅れになるというテクノロジーの弱点を抑え、いかに未来に備えるかが大事です。テクノロジーのリスクには、互換性、拡張性(スケーラビリティ)、正確性などの問題があります。
- サイバー対策:デジタル資産を不正アクセスから守り、統合システム全体を通じて機密性を維持する必要があります。
- データ漏えい:データを使用、転送、保管する際に、エコシステム全体でいかにデータの整合性を確保するかは複雑な問題です。
- サードパーティ:第三者とパートナー契約や業務提携を結ぶ組織は、データの共有や技術統合にまつわる外部リスクに晒されることになります。
- プライバシー:従業員や顧客に関する個人情報を取り扱う際には、各個人の「選択」や「同意」の管理を含めて最大限の注意と配慮を心がける必要があります。
- 科学捜査:システムやデータは、不正行為やセキュリティ違反が発生した場合に、幅広い精査を実施し、法廷で使えるだけの強固な証拠を抑えることができるよう管理する必要があります。
- 規制遵守:業務が国内の法律や業界特有の規制を遵守していることを確認できるだけの十分な専門知識を社内に確保する必要があります。
- レジリエンス:現代では、複雑に絡み合うテクノロジーが多くの企業の基盤となっています。そのため、一部でシステム障害が発生すると、その影響が瞬く間に広がり、サービス全体が停止してしまうリスクがあります。
このように明白なリスクがあるにもかかわらず、ある調査では、自社に「完成」されたデータセキュリティ戦略があると回答したのは全体のわずか29%にとどまり、41%は「開発中」、23%はまだ「計画中」の段階であると回答しています[4]。
上記のリスク領域のうち、とりわけデジタルへの依存やサイバーセキュリティの脆弱性に関するものは、より持続可能なレジリエンスを構築するための潜在的な道筋を示していると言えるでしょう。ここで、さらに詳しく見ていきましょう。
ハッキングの未来:マルウェアからランサムウェアまで
分散型の「ウェブ3.0」(ブロックチェーン技術やトークンエコノミーなどの概念を取り入れた次世代インターネット)の中で技術的収束が進んでいくと「サイバー脅威の様相が複雑になり、重大な障害点が増える」危険性が高まります[5]。
その危険性は金銭的なものだけではありません。主要インフラや社会的一体性といった「根幹の柱」にも問題を投げかけます。そして残念ながら、単純な解決策はありません。世界経済フォーラム(WEF)は、「サイバー脅威は、それを効果的に防御・管理する社会の能力を凌駕する勢いで増加している」と警告しています。
WEFはその例として、2021年後半に重大なセキュリティ上の脆弱性が発覚してから数日のうちに毎分100件以上のハッキング件数を記録したJavaログ出力ライブラリ「Log4j」を挙げています。このサイバー攻撃は、無償で使えるオープンソースコードの脆弱性の広がりを実証しました。昨年に起きたSolarWinds(ソーラーウィンズ)社のネットワーク監視アプリケーション「Orion」を侵害したサプライチェーン攻撃は、IT監視・管理ソフトウェアを標的に定め、グローバルなサイバーセキュリティ・サプライチェーンを打破したため、何十万社もの企業が大きな被害に遭いました[6]。
ネット上での悪質なアクティビティは急増しています。加害者の参入障壁はほとんどなく、訴追の可能性も皆無に近い状態です。2020年、マルウェアの報告件数は358%、ランサムウェアの事例は435%増加しました[7]。また、同時期にランサムウェアの被害に遭った暗号資産(仮想通貨)の総額も4倍に増加しています。
ハッカーは、データ漏えいや分散型サービス妨害(DDoS)攻撃により、標的の企業を脅迫することも可能です。複数の遠隔拠点のリソースを使用し、企業のオンラインサービスを攻撃します。
これまでデジタル搾取の犠牲になってきたのは、公共事業、医療システム、データが豊富な企業などでした。昨今では、事業規模を問わず大半の企業が該当します。
こうした問題は自然に解決しません。AIを駆使したマルウェアの出現により被害額が爆発的に増加し、金銭的な面だけでなく、社会的信用を失うリスクも飛躍的に拡大する可能性を示しています。以前にAbdul Latif JameelのPerspectivesの記事でも触れましたが、グローバルリスク意識調査(Global Risks Perception Survey/GRPS)において「サイバーセキュリティの欠陥」が急増中のリスクのトップ10に選出されたり、WEFのサイバーセキュリティ・リーダーシップ・コミュニティ(Cybersecurity Leadership Community)のメンバーの85%がサイバーセキュリティについて「公共の安全を脅かす大きな懸念事項」だと確信しているのも当然のことと言えるでしょう[8]。地域別に見ると「サイバーセキュリティの欠陥」は、東アジア、太平洋地域、ヨーロッパにおいてトップ5のリスクとしてランクインしており、そのうち4ヶ国(英国、アイルランド、オーストラリア、ニュージーランド)では1位に挙げられています。
未来のテクノロジーの方向性も懸念を誘います。量子コンピューティングは近い将来、強力なファイアウォールとして金融データや個人情報を長年守ってきた暗号鍵を破るかもしれません。また、メタバースはハッキングやデータ漏えいのアクセスポイントを増やすことになります。メタバースをベースにしたデジタル商取引の規模は、2024年までに8,000億米ドルを超えると予測されており、サイバー攻撃に拍車がかかるのは必至です[9]。
サイバーセキュリティのコスト高騰
官民問わず、デジタルトランスフォーメーションのリスク対策には相応のコストがかかります。そして、その代償は、最もコストをかける余裕のない企業に不釣り合いに重くのしかかります。中小企業は予算の4%以上をサイバーセキュリティに費やさなければならないのに対し、規模の経済を享受できる大企業は予算の1~2%程度の投資で済むからです。ランサムウェアが頻繁に世間を騒がせる今、サイバー保険は一部の人にとっては途方もなく高額で、手が出ない状態になりつつあります。2021年第3四半期のサイバー保険料は、米国で96%、英国で73%値上がりしました[10]。
では、デジタルトランスフォーメーションのリスクを効果的に抑え、メリットを最大限に活用できるようにするには、企業や政府はどのような戦略を講じれば良いのでしょうか?
デジタル脅威に対するセキュリティ対策
大事なのは、システムの整合性を維持することです。つまり、システムへの不正アクセスをシャットアウトし、悪意を持った第三者によるシステムへの不要な干渉を防ぐということです。
現在は、信頼できるサイバー攻撃対策としていくつかの戦略が浮上しています。その最たるものが、さまざまな手法を駆使してサーバーやコンピューターの脆弱性を軒並み低減させる「プラットフォーム・ハードニング」です。
- ネットワーク・ハードニング:ハードウェア/ソフトウェアベースのファイアウォールを駆使し、デジタルインフラを守る手法です。不正侵入防止システムやアラート管理によりネットワークを強化します。
- オペレーティングシステム・ハードニング:セキュリティ設定が業界水準を満たしていることを確認し、不要なサービスやアカウントを削除してオペレーティングシステムを強化します。
- 遠隔システム・ハードニング:遠隔システム/デバイスに社内システムと同様の堅牢なアクセスプロトコルを実装し、新たな脅威の出現を頻繁にチェックして遠隔システムを強化します。
- データベース・ハードニング:アクセス制御、暗号化、高度なセキュリティ設定などを組み合わせて、基幹データベースへの悪意ある侵入を防ぎます。
- アプリケーション・ハードニング:サードパーティ製アプリの設定を調節し、マクロなどのスクリプト攻撃を防御します。
上記の手順はすべて、デジタルリスクを継続的に防御するため頻繁に脆弱性を検証する必要があります。セキュリティ強化、システムのパフォーマンス向上、コンプライアンスと監査の合理化など、そのメリットは計り知れません。
セキュリティを優先させることの価値は、数字でも実証されています。ある調査によると、組織の半数以上が外部からのリモートアクセスによるデータ漏えいの被害を受けており、セキュリティ侵害の61%は、パッチが提供されているのに実装されていない既知の脆弱性につけ込んだものでした[11]。
セキュアなデジタル政策とは、具体的に何を指すのでしょう? 米ソフトウェア会社Netwrix(ネットリックス)のITセキュリティスペシャリスト、ディック・シュレイダー氏をはじめとする専門家は、セキュアなデジタル体制には以下の特長があると述べています。
- 古くて使われていない技術が定期的にサーバーから削除されている
- プラットフォーム、ネットワーク、アプリケーションの不正アクセス対策が個別に講じられている
- 時間がかかったり、生産性の多少の低下が認められても、各ユーザーの多要素認証(Multi-Factor Authentication/MFA)を採用し、クラウドコンピューティングを保護している
- データの分類、保管、処理、暗号化に重点を置き、エコシステム全体でデータを保護している
- 総合的なデジタルトランスフォーメーション(DX)の一環として、サードパーティ製テクノロジーの統合、オペレーションの依存関係、ベンダーのレジリエンスが考慮されている
- プライバシーを最優先し、個人情報の取り扱いに関して「同意」「通知」「選択」「正確性」の原則を遵守している
- 規制の枠組みが尊重され、セキュリティ侵害の科学的な証拠を提出できる
- 事業継続、危機管理、災害時のIT復旧に関する適切な計画を通じてレジリエンスが確保されている
孤立主義/閉鎖的なアプローチでは、必要な変革を浸透させることはできないでしょう。ブロックチェーンや量子コンピューティングのような最新技術に大きな期待が寄せられる今、企業や国家が積極的に協力すれば、ほぼすべての組織に通用するソリューションが明らかになるはずです。
ビジネス界では、リーダーがサイバーセキュリティ問題に関する適切な研修を受け、取締役会でも役員がサイバーレジリエンスに関する議論を日常的に行う必要があります。
デジタルトランスフォーメーションに着手する際にとりわけ大切なことは、組織にとって最も重要なセグメントである顧客やクライアントの賛同や支持を得ることです。顧客やクライアント側に移行の準備ができていなかったり、自分たちに合わないシステムやサービスの利用を強いられることになれば、よりニーズに合った別の企業に乗り換えられてしまう可能性が高くなります。
デジタル移行の過程でやり方を間違えてしまうと、今まで満足していたパートナーを失う危険性があることは、往々にして見過ごされがちです。
人類の飛躍的な進化の時代を支えるセキュリティ
在宅勤務への加速的な移行は、過去20年にわたる傾向に拍車をかけました。デジタルシステムへの依存が高まり、クラウドサーバーやAPI(アプリケーション・プログラミング・インターフェイス)などの中間技術の数が爆発的に増加しています。そして、こうした技術はそれぞれ特有のリスクや脆弱性を孕んでいます。同時に、相互接続技術に対する需要も拡大を続けています。
一見、制御不可能に見える外部要因が、潜在的な脅威を悪化させています。政府レベルでは、地政学的な対立が広がっていることで、未来のデジタルセキュリティを強化するための国際的な協調体制に遅れが生じています。国境を越えるサイバー攻撃や継続的な誤報キャンペーンの拡大にも関わらず、それに対抗するためのチェックアンドバランス(抑制と均衡のシステム)が不足しています。競合する国の法律や執行メカニズムに一貫性がないことが、サイバー犯罪を抑止できない大きな要因となっています。
VUCA(変動性、不確実性、複雑性、曖昧性)がますます高まる世界において、民間企業は国際社会の動向の「空気を読む」必要に迫られることがあまりに増えています。企業は、データ保護の管理体制が整っている管轄区域にデータ処理を移管する可能性に対し、オープンな姿勢を保つべきでしょう。
デジタルトランスフォーメーションのリスク対策を怠ることは、個々の組織の運命をはるかに上回る影響をもたらす可能性があります。もし、自己複製と変異を繰り返す壊滅的なトロイの木馬型のクリプトウイルスが、主要な政府機関や民間企業のサーバーを乗っ取り、近年のデジタル化の流れを覆してしまったらどうなるでしょう? また、プライベートITインフラや暗号通貨への潮流が、金融システムや個人情報を保護するための規制当局の取り組みを阻害してしまったらどうなるでしょう? さらに、サイバースパイが最終的に研究開発投資を鈍らせ、商業的な信頼感の不足から社会が停滞したら?
デジタル移行は、最終的には業種や事業規模に関係なく、すべての公共機関や企業を包含することになるでしょう。しかし、特定の産業にはとりわけ大きな責任が生じることを肝に銘じておかなくてはなりません。例えば、小売業やマーケティングなど、顧客の把握が成功につながるビジネスに従事する人々にとって、デジタル移行はリスクとリターンの両方をもたらします。収益化できるデータを収集する機会がこれほど豊富にある時代はこれまでありませんでした。同時に、個人情報から得たインサイトを悪用されないようにするプレッシャーも、ひときわ大きくのしかかっています。
「ますますつながっていく社会において、デジタルトラストは長期的なイノベーションや繁栄に不可欠です」とAbdul Latif Jameelの最高デジタル・情報責任者を務めるモウ・チャアラは語ります。「信頼できる技術こそが、より公平で透明性の高い結束した社会を築く土台になります。デジタルトラストを強化し、デジタルトランスフォーメーションに内在するリスクを低減する努力を続けなければ、人類の進化史上、最もエキサイティングで躍動的な時代と言われる現代の夢と可能性が失われることになります」
[1] https://resources.foundryco.com/download/digital-business-executive-summary
[2] https://blog.netwrix.com/2023/02/22/system-hardening/
[3] https://www2.deloitte.com/content/dam/Deloitte/in/Documents/risk/in-ra-managing-risk-digital-transformation-1-noexp.pdf
[4] https://resources.foundryco.com/download/digital-business-executive-summary
[5] https://www.weforum.org/reports/global-risks-report-2022/in-full/chapter-3-digital-dependencies-and-cyber-vulnerabilities/
[6] https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know
[7] https://www.weforum.org/reports/global-risks-report-2022/in-full/chapter-3-digital-dependencies-and-cyber-vulnerabilities/
[8] https://www.weforum.org/reports/global-risks-report-2023/
[9] https://www.bloomberg.com/professional/blog/metaverse-may-be-800-billion-market-next-tech-platform/
[10] https://www.marsh.com/bg/en/services/insurance-market-and-placement/insights/global_insurance_market_index.html