世界中の企業が生き残りを賭けて取り組む「DX（デジタルトランスフォーメーション）」

一昨年あたりから、にわかに「DX（デジタルトランスフォーメーション）」という言葉が大きく取り沙汰されるようになりました。AIやビッグデータ、IoTといった「先進デジタル技術」を活用し、企業のビジネスモデルを大胆に「トランスフォーメーション（転換）」しようというのがその主旨で、既に多くの企業がその実現に向けて具体的な取り組みを始めています。

特に、これまで市場で大きな存在感を示してきた歴史ある企業にとっては、DXの成否は会社の存亡をも左右する重大事になるかもしれません。現在さまざまな業界において、先進デジタル技術を武器に急速に台頭し、瞬く間に市場を席捲する新興企業が次々と現れています。よく引き合いに出されるUberは、「デジタル技術を使った配車サービス」というまったく新たなビジネスモデルを引っ提げてタクシー業界に殴り込みを掛け、1台も自前の車両を保有することなくあっという間に既存のタクシー業者のシェアを奪ってしまいました。

小売業界におけるAmazonや、ホテル業界におけるAirbnbなども同様に、デジタル技術を武器に業界を席捲する新興企業、いわゆる「ディスラプター（Disruptor：破壊者）」の代表例だといえるでしょう。もともと業界で長らくシェアを保ってきた企業は、今後はこれらディスラプター企業との競争に打ち勝っていかなければ、事業の成長はおろか、会社そのものの存続すら危ぶまれるかもしれません。

この危機を乗り越えるためには、旧来のビジネスモデルに固執するのではなく、自らも思い切ってデジタル技術を取り入れて、大胆にビジネスモデルを転換していくしかありません。破壊者に破壊されるがままでいるのか、それとも自らが破壊者となって競争を勝ち抜いていくのか。後者の道を選んだ企業にとって、DXはまさに生き残りを賭けた極めて重要な経営戦略なのです。

日本企業のDX実現を阻む「2025年の崖」とは？

既に世界中の企業がDXに本腰を入れて取り組んでおり、中には早くも大きな成果を上げた例もあります。もちろん日本においても、「デジタル戦略」「デジタル経営」といったキーワードを掲げ、DXを経営戦略の柱に据える企業が増えてきています。

しかしその一方で、日本企業のDX実現には多くの障壁が存在することも徐々に明らかになってきています。中でも、経済産業省が2018年に発表した「DXレポート ～ITシステム「2025年の崖」克服とDXの本格的な展開～（DXレポート）」は、日本企業のDX実現を阻む構造的な問題を鋭く指摘したレポートとして大きな話題を集めました。

同レポートでは、日本企業のITシステムが抱える最大の問題点として、「レガシーシステムの維持・運用」を挙げています。現在多くの日本企業が、老朽化したハードウェア・ソフトウェアで構成されたレガシーシステムを長年に渡り利用し続けており、その維持・運用のために膨大な費用と人手を費やしています。一説によれば、日本企業のIT投資の約8割が、既存システムの維持・運用のために費やされているとも言われています。

これらレガシーシステムを今後も利用し続ける限り、お金も人もその維持・運用に吸い取られてしまい、いつになってもDXへの本格的な投資が実現しません。またレガシーシステムは柔軟性や拡張性に課題を抱えていることが多く、最新技術を取り入れることも容易ではないため、DXのためのIT基盤としては明らかに役不足です。

DXレポートでは、こうしたレガシーシステムにまつわる諸課題を解決できない限り、「2025年以降、最大で年間12兆円の経済損失が発生する」と試算しています。同レポートではこの危機を「2025年の崖」と表現しており、今からレガシーシステムの近代化に着手しないと、将来的にはDX実現はおろか、日本経済全体が沈下していってしまうと警鐘を鳴らしています。

ちなみに2025年には、日本でも多くの企業が利用するERPパッケージ製品「SAP ERP」がサポート期間満了を迎え、レガシー化したSAP ERP環境の扱いを巡り各所で「2025年問題」が発生するのではないかとも危惧されています。このように2025年は、日本企業のIT活用、ひいては日本経済全体にとって大きな曲がり角を迎える年になると目されています。

セキュリティ対策の抜けたDXは大きなリスクを招き入れる

しかも「2025年の崖」問題は、何もレガシーシステムに限った話ではなく、実はセキュリティの世界でも危惧されています。レガシーシステムを刷新し、DX実現を目指して最新デジタル技術を積極的に導入していくと、自ずとITシステムのアーキテクチャはがらりと様変わりします。

これまで社内のオンプレミス環境に設置したサーバやデータベースを使って運用してきた業務システムは、だんだん社外のクラウドベンダーが提供するクラウドアプリケーションへと移り変わってきました。またシステムのユーザーが利用する端末も、社内に設置されたデスクトップPC一辺倒から、社外でも利用できるラップトップPCやタブレット端末、スマートフォンなどの利用が増えてきます。

こうした環境変化に伴い、セキュリティ対策に求められる要件もがらりと変わってきます。この点を考慮に入れず、古いセキュリティ対策のままDXを急速に進めていくと、サイバー攻撃の格好の標的となり、手痛いしっぺ返しを食らうかもしれません。もし深刻なインシデントを引き起こしてしまった場合、DX実現が遠のくどころか、会社の存続すら危うくなるかもしれません。そのため、DXは必ず最新のセキュリティ対策とセットで進める必要があります。

ここまでは、日本におけるデジタルトランスフォーメーション（DX）の現状と課題、そしてDX実現のためにはそれにふさわしい情報セキュリティ対策が必須であることを解説してきました。ここからは、DXに必要な情報セキュリティ対策の具体的な条件について考察してみたいと思います。

DX時代にふさわしいセキュリティモデルとは？

DX以前の大部分の業務システムは社内のオンプレミス環境に構築され、ユーザーは同じくオンプレミス環境内に設置されたクライアント端末からシステムにアクセスしてアプリケーションを利用していました。システムのほぼすべての構成要素が社内ネットワークの中に存在したため、社外から社内ネットワークに対して仕掛けられる攻撃や侵入をネットワークの出入り口で防ぐ「境界線防御」がセキュリティ対策の中心を占めていました。

しかしDX時代には、業務システムのかなりの部分がクラウドサービスとして提供され、またそれらに対するアクセスも社内ネットワーク内に設置したクライアント端末からだけでなく、社外のインターネット環境に接続されたラップトップPCやタブレット端末、スマートフォンなどからも利用されるようになってきました。インターネットから直接クラウドサービスに接続することになるため、従来の境界線防御の存在意義は徐々に薄れていっています。

こうしたITシステムの利用形態においては、「安全なネットワーク」と「危険なネットワーク」の区別はなくなり、いつどこで端末を利用する場合も、常に万全のセキュリティ対策を講じる必要が出てきます。「ゼロ・トラスト」と呼ばれるこの新しいセキュリティモデルを実現するために、現在さまざまなセキュリティ製品や認証製品が提供されています。

ビジネスや攻撃の変化に即座に対応できるか？

DX時代のビジネスやそれを支える業務システムは、それ以前のビジネスやシステムと比べ変化スピードが極めて速いのが特徴です。デジタル技術をフル活用し、市場の変化スピードにいち早く追随して競合他社に先駆けて斬新なサービスを投入する。そのためには、業務システムもビジネスの変化に即応できる俊敏性や柔軟性を備える必要があります。

クラウドは、まさにこうした「変化の時代」にふさわしい技術だと言えるでしょう。新たなビジネスニーズが生じたら即座にシステムを立ち上げて、不要になったらすぐに利用を止める。このような柔軟なITの利用法は、何も業務システムやアプリケーションだけに限らず、情報セキュリティ対策においても求められます。

従来のように社内ネットワークの出入り口にセキュリティ装置を設置するような方法では、ビジネス要件が変わって急遽システムやサービスを投入するような場合、トラフィックの急増やネットワーク構成の変更などに即座に対応できない可能性があります。また近年ではサイバー攻撃の手法が日進月歩で変化しているため、そうしたトレンドの変化にもいち早く追随しなくてはなりません。

サイバーセキュリティとITセキュリティは違う

セキュリティ技術を扱うことができる専門家の数は圧倒的に不足しています。総務省の試算によると、2020年にはセキュリティ人材の不足数が19.3万人に達すると言われています。企業がDXを推進していくためには、希少なIT人材をAIやビッグデータ、IoTといった先進デジタル領域に投じて、新たな収益源を発掘する必要があります。つまり、組織の業務に精通している「ITセキュリティ」の専門家が、業務の推進に専念する必要があります。

一方で「サイバーセキュリティ」の取り組みは、社内の業務というよりは外部の敵に目を向けなければなりません。常日頃から攻撃者の動向を把握し、最新の攻撃技術に精通する必要があります。こういったサイバーセキュリティ対策に、企業内のITメンバーのリソースを無尽蔵に投じるわけにはいきません。

つまり、ITセキュリティは社内のメンバーで支えつつ、サイバーセキュリティの知見は外部専門家の力で補って、効率的なセキュリティオペレーションを行う必要があります。「サイバーセキュリティとITセキュリティを分けて考える」ことも、DX時代にふさわしいセキュリティ対策の重要な要件だと言えるでしょう。

DXとの相性に優れるセキュリティソリューション「EDR」

こうした要件を満たすセキュリティ製品として現在注目を集めているのが「EDR（Endpoint Detection and Response）」です。EDRは、PCやサーバなどのエンドポイントデバイスを常時監視し、疑わしい動きが少しでもあればそれを検知・排除します。従来の境界線防御では、一度攻撃がセキュリティ製品の網を潜り抜けて社内システムへ侵入してしまうと、それを検知する術はありませんでした。一方EDRは、攻撃者が最終的に情報の窃取を狙うエンドポイント上で待ち構えて脅威を検知するため、対策に漏れが生じる恐れがほとんどありません。

インターネットから直接クラウドサービスを利用するような、境界線防御がそもそも意味をなさないような環境においては、このEDRの機能が極めて頼りになります。弊社が提供するEDR製品「Cybereason EDR」も、こうした環境において多くの実績があります。

またCybereason EDRは、エンドポイントから収集したログデータをクラウド環境上に集め、そこで機械学習を用いた高度な分析を施すことで脅威を検知します。ユーザーのIT環境内に新たにサーバなどを設置する必要はないため、システムの構成や利用形態が変わろうとも手を加えることなく、従来通りの方法で使い続けられます。

さらには、製品の運用や脅威分析などをユーザーに代わって行う「MSS（Managed Security Service）」を提供しているのもCybereason EDRの大きな特徴です。このサービスを利用することにより、ユーザーは最小限の人手と手間で高度なエンドポイントセキュリティ対策を実現できるようになります。

このようにEDRは、これからDXを本格的に推進しようと考えている企業にとって、極めて効果的かつバランスのいいセキュリティ対策だと言えます。情報セキュリティ上の不備がDX実現の足を引っ張り、ひいてはビジネス全体の成長を阻害してしまう前に、ぜひ早めに導入を検討することをお勧めします。

「次世代エンドポイント（EDR）のメリット」とは？ Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033