新年おめでとうございます。読者の皆さまにおかれましては新春晴れやかに過ごされ、新年に向けてさらなる発展に臨まれていることかと存じ上げます。また本年はオリンピック/パラリンピックも開催され、日本が注目される年でもあります。2020年の経営環境、とりわけ、いわゆる新たなデジタル技術を活用して新たなビジネスモデルを創出・柔軟に改変するデジタルトランスフォーメーション(以下、「DX」。)における環境変化について考察し、サイバーリスクにどう向き合うべきか、貴社におけるデジタル社会の信頼性確保に寄与できればと思います。
2020年におけるデジタル環境の変化として、デジタル基盤としてのクラウド利用促進、第5世代移動通信システムのサービス開始、量子コンピュータの可能性が挙げられます。この3点について筆者の考えを基に予想される状況を記載します。また、DXを推進する際の留意点について、サイバーセキュリティとプライバシーの観点から述べます。
クラウドの利用は、現時点でも進展していますが、その利用がさらに加速することが想定されます。理由としては、いくつか想定されるところ(1)政府調達におけるクラウド調達の整備が進展しているところ、政府調達プロセスにおけるクラウドの安全性評価が行われることが後ろ盾になり、民間企業における利用が促進されること、(2)後述する5Gの商用サービス開始に伴い、現状とは比較にならない大量のデータ、特に動画などのデータのやりとりが発生するため、このようなデータの保管には、いわゆるクライアントサーバー型のインフラアーキテクチャは、不向きであることなどが挙げられます。
いよいよ通信回線に第5世代移動通信システム、いわゆる5Gが日本でも導入されることとなります。既にアメリカや韓国では商用利用されていますが、日本でも本年の春から商用サービスが開始されるとされています。5Gの特徴は現在の4Gと比較し(1)通信速度、(2)低遅延、および(3)同時接続数の向上が挙げられます。
これらの特徴がもたらす、主な効果は図表1のとおりです。
また本原稿を執筆しているのは2019年11月ですが、Google社は2019年10月23日に『Nature』に掲載された論文で、量子超越を備える量子コンピュータの性能を実証したと発表しました。これまで量子コンピュータの可能性は理論上のものでしたが、今回、世界で初めて実験で証明したという内容です。
この発表を受けて仮想通貨であるビットコインの取引価格が低下しています。これは暗号化資産に適用されている暗号化技術が、量子コンピュータにより無効化される可能性を示唆しています。量子コンピュータの可能性については、未知数である点も多々あるため今回は可能性のみの示唆としたいと思います。
ただし、2020年において量子コンピュータが商用化に向けて前進することは確実視できると想定され、現在インターネットの世界で採用されている主だった暗号化技術が無効になることも想定されます。これはブロックチェーンも例外でないと言われているところでもあります。
リスクに着目すると非常に危険な存在である一方で、スーパーコンピュータを超える性能を持つ量子コンピュータがクラウド上に設置され、5G回線で活用されるとき、企業のDXは飛躍的に推進されることは間違いないと想定されます。
上述したデジタル環境の変化により、サイバーセキュリティのマネジメントも変化することが想定されます。当該変化について以下記載しつつ、その対策概要について述べていきたいと思います。
第一にクラウド利用を推進する場合には、図表2に示しているようにクラウドのどのサービスを利用するかによりサイバーセキュリティのマネジメント主体が自社なのか、クラウドベンダーなのかが異なります。
よって、サイバーセキュリティのマネジメントの主体がクラウドベンダーにある場合、サイバーセキュリティリスクへの対応について十分な評価を行うことが必要になります。また自社でセキュリティを確保しなくてはならない領域については、適切なサイバーセキュリティリスクに対するコントロールの設計、および運用が必要になります。よってクラウドを利用するからサイバーセキュリティは大丈夫と安易に考えず、SaaS、PaaS、IaaSのどのサービスを利用するかに応じて、クラウドベンダーのセキュリティ対策を評価する、自社でサイバーセキュリティを確保しなくてはならない領域については、適切なサイバーセキュリティ施策を導入する必要があります。
また、各クラウドベンダーのサービスに対して評価した結果は永続的ではない点も留意が必要です。クラウドベンダーから提供されるサービスも毎年改良され、またシステム構成もより最適化が図られることなどから、一定ではありません。よって、自社が求めるセキュリティレベルが維持されているか否か、定期的な評価が必要です。
標的型攻撃が主流となっている昨今、サイバーセキュリティの対策には、攻撃者の思考を理解することが必要不可欠です。ここで、攻撃者の思考を理解するためには、サイバーキルチェーンが参考になります。サイバーキルチェーンは、Lockheed Corporation社が提唱した軍事行動になぞらえて、呼び方のバリエーションはあるものの「偵察」「武装」「デリバリー」「侵入・侵害」「インストール」「コマンド&コントロール」「目的の実行」といった攻撃には7段階あることをモデル化したものです。
サイバーキルチェーンの各段階におけるサイバー攻撃のシーケンス例、およびサイバー攻撃手法例は図表3のとおりです。サイバーキルチェーンの段階が進めば進むほど、サイバー攻撃の深度が増しておりサイバーリスクの顕在化が進んでいることになります。攻撃者はやみくもに攻撃してくるのではなく、偵察という行為を行うことで攻撃の成功確率を高めた上で武装し、攻撃してきます。すなわち、企業がどのような防御をしているのか攻撃者は把握した上で、攻撃してくるということを理解する必要があります。
ここで、留意しなくてはならないのは5Gの影響です。サイバーセキュリティリスクといった場合、いわゆる情報セキュリティと異なり機密性だけでなく可用性、すなわちデータサプライチェーンにおいてアベイラビリティが確保されていることが重要視されます。
また、ハッカーが5G回線を利用して膨大なデータを貴社のネットワークにDDoS攻撃としてアタックしてきた場合、現状の対策では防げないケースも想定されます。よっていま一度、ネットワーク関連のセキュリティ対策について、5G回線を前提に見直しておくことを推奨します。
2020年は上述してきた5G回線の商用化、クラウド活用の促進と相まって大量のデータを活用するビジネスがより推進されることが想定されます。その際に企業責任として確立しなくてはならないのはプライバシー保護となります。ここでいうプライバシー保護はわが国が定める個人情報保護法関連の法令等よりも広い概念です。これは、企業がコンプライアンスを遵守といった場合、単に法令を遵守するだけでなく、その時代におけるいわゆる社会道徳の遵守も求められる時代であることを意味します。いわゆる法徳遵守が求められているということになります。
なお、プライバシーデータについては主にBtoCのビジネスモデル企業において取り組みが推進されてきましたが、先の5G商用化の特徴でも述べたように多数のセンサーによりプライバシーデータの取得を行いうる企業が増えることが想定されます。
DX推進の過程において、自社がプライバシーデータを取得することの可否については慎重に見極める必要があります。
なお、一般的にプライバシーが侵害されたとされるケースの類型化として図表4を参考情報としてご活用ください。
2020年を迎えるにあたり、デジタル環境の変化として、デジタル基盤としてのクラウド利用促進、第5世代移動通信システムのサービス開始、量子コンピュータの可能性の3点を挙げました。また、DXを推進する際の留意点についてサイバーセキュリティとプライバシーの観点から述べてきました。
PwCではクラウドリスクマネジメント、サイバーセキュリティ&プライバシーリスクマネジメントといった、企業がデジタルトラストを確立する際に欠かせないサービスを、多数の専門家を有することにより提供しています。
もし何か不明な点や不安な点があれば、ぜひご連絡ください。皆さまが、2020年にますますの発展を成しうることを祈念しながら、結びとさせていただきます。