セキュリティTAG

MDM（モバイルデバイス管理）とは？導入するメリットやデメリットをわかりやすく解説

タブレットやスマートフォンなどのモバイル端末は、プライベートだけでなく企業活動や教育現場などさまざまな場面で使用されています。しかしモバイル端末の業務利用は、システムエラーや操作ミスによる端末へのウイルス侵入、情報漏洩などのリスクがあり、扱い方には十分な注意が必要です。こうしたリスクを回避するため、MDM（モバイルデバイス管理：Mobile Device Management）サービスを導入する企業が増えています。MDMサービスを導入すると、セキュリティリスクが強化されるほか、システムエラーなどのトラブルが生じた際にも迅速な対応が可能です。本コラムでは、MDMサービスの概要、メリット、デメリットならびにMDMサービス導入時にチェックしたいポイントを解説します。MDMサービスの導入を考えているご担当者はもちろん、すでに運用されている方もぜひ参考にしてください。 MDM（モバイルデバイス管理）とは？ MDM（モバイルデバイス管理）とは、モバイルデバイスを管理することです。モバイルデバイスは持ち運びに適した電子機器を指し、スマートフォンやタブレット、ノートバソコンなどが該当します。MDMサービスを利用すると、従業員用のタブレットやスマートフォンなどのモバイル端末を一括管理できるほか、セキュリティ対策を強化できるのが特徴です。 MDMの種類 MDMの通信方法には、ポーリング方式とプッシュ方式があります。それぞれについて理解しておきましょう。ポーリング方式ポーリング方式は、MDMサーバと登録しているモバイル端末の間で定期的に通信し情報を共有します。ポーリング方式のメリットは、仕組みがシンプルで事前の設定やフローを構築しやすいことです。ただし、デメリットもあります。たとえばMDMサーバと管理する端末の間の通信量が増えると、端末の消費電力量も増加して、モバイル端末が電池切れを起こす恐れがあります。プッシュ方式あらかじめ構築したMDMサーバと管理端末間のネットワークを介して、必要に応じてモバイル端末にアクセスするのがプッシュ方式です。プッシュ方式には、SMSを使って呼び出す方法と、プッシュサービスから呼び出す方法があります。プッシュサービスでは、モバイル端末に搭載しているOSに対応したサーバを利用してリクエストを送受信します。プッシュ方式のメリットは、必要に応じて通信するため、モバイル端末のバッテリーの節約を期待できる点です。 MDMとMAMの違いとは MAM（Mobile Application Management）は、モバイル端末にインストールした各種アプリケーションの管理を意味します。アプリケーション管理に必要なソフトウェアやサービスも含めて「MAM」あるいは「MAM製品」「MAMサービス」と呼ぶことがあります。 MDMとMAMの相違点は、対象端末と管理対象です。MDMの場合、主に企業が支給したモバイル端末が対象端末となり、管理対象は「貸与したモバイル端末そのもの」です。たとえばMDMサービスには、対象のモバイル端末をリモートでロックする機能などがあります。一方、MAMが対象とするものは、主に個人が所有するモバイル端末です。管理対象は、個人が所有するモバイル端末にインストールした「業務用のアプリケーションやデータ」です。近年では、従業員の私有モバイル端末を業務利用する「BYOD（Bring Your Own Device）」を導入する企業が増えていますが、BYODの導入は情報漏洩などのリスクがあります。そのためMAMは、個人所有のモバイル端末のセキュリティ面の強化を目的として導入されるケースが多いです。 MDMが求められる背景企業がMDMの導入を求められる背景には、テレワーク／リモートワークの増加があります。新型コロナウイルスの影響で、テレワーク／リモートワークを導入する企業が急速に増えています。テレワーク／リモートワークの普及によって懸念されることは、セキュリティリスクです。従業員がオフィス以外ではたらくケースが増えたことで、許可なく業務で使用しないソフトウェアやアプリケーションをダウンロードし、ウイルスに感染する可能性が高くなっていると考えられます。また、盗難や紛失による情報漏洩のリスクの大きさも懸念点です。 MDM導入が求められる背景には、テレワーク／リモートワークの普及によって増加するこうしたセキュリティリスクの回避があります。 MDMサービスを導入するメリット MDMを導入した場合に得られるメリットを具体的に解説します。端末管理の一元化 MDMサービスを導入すると、管理者がモバイル端末を一括管理することが可能です。MDMサービスは多くの場合、モバイル端末のハードウェア情報と設定情報を自動取得できるため、企業とIT担当者はより効率的に端末を管理でき、結果として業務の効率化を図れるでしょう。また、各端末のOSの種類、バージョンとインストールしているアプリケーションも遠隔で把握が可能です。情報漏洩の対策ができるタブレットやスマートフォンは社外でも使用する機会が多いため、紛失や盗難に遭う可能性があります。端末が第三者の手に渡った場合、端末本体や内部データにパスワードが設定されていないと、社内の機密情報が流出する恐れもあるでしょう。 MDMサービスを導入すると、モバイル端末の紛失や盗難などのトラブルが発生した際に、遠隔操作により端末の位置情報を割り出せます。また、ロックをかけて端末を操作不能にできるうえに、遠隔操作で一部もしくは全データを削除して企業の機密情報を守れます。利用制限ができる MDMサービスを導入すると、モバイル端末に利用制限をかけることも可能です。業務に関係のないアプリケーションのダウンロードなど、モバイル端末の不正利用や私的利用を防げます。また、MDMサービスを導入することで、利用しているアプリケーションの利用状況の把握も可能です。利用状況が把握できることをあらかじめ社内で共有しておけば、私的利用の予防や内部不正の抑止効果も期待できます。 MDMサービスを導入するデメリット MDMサービスはさまざまなメリットがある反面、デメリットもあります。MDMサービスの具体的なデメリットを知り、対策を立てたうえで導入しましょう。コストがかかる MDMサービスを導入するには、コストがかかります。費用は、導入するMDMサービスの種類や利用するモバイル端末数などによって異なります。その反面、MDMサービスの導入をせず、端末管理担当者が1台1台すべての端末をチェックしトラブルにも対応していては、膨大な時間がかかるでしょう。業務効率化、セキュリティの向上も期待できることを考慮すると、MDMサービスの導入は費用対効果の高い企業が多いと考えられます。社内で利用しているモバイル端末数と、各企業が出しているMDMのサービス内容や料金形態を比較したうえで検討しましょう。業務が非効率になりBYODを誘発する可能性がある MDMを導入した際、過度な利用制限をかけると利便性が低下し、業務が非効率になる可能性があります。また、アプリケーションの承認に時間がかかりすぎると、各部門の足かせとなり、スピード感をもって業務対応できなくなる恐れもあります。このような状態が続くと、従業員は業務が非効率になると考え、許可なく個人が所有する端末で業務対応（BYOD）をしかねません。セキュリティ対策が十分に施されていない私物のモバイル端末でBYODをすれば、結果的に情報を漏洩するリスクが高まってしまい、MDMを導入した意味がなくなります。 MDMサービスは、セキュリティの強化のために有効な手段ですが、導入する際は従業員の利便性も十分に考慮してください。社内ルールの策定やセキュリティ対策アプリケーションの導入など、社内の仕組みも同時に整えましょう。 MDMサービスを導入するときのポイント MDMサービスを導入する際は、どのようなポイントを押さえておけばよいのでしょうか。導入の失敗を避けるために、以下を参考にしてください。目的の明確化 MDMサービスをどのような目的で導入するのか、事前に明確にしておく必要があります。なぜなら、自社の実情に適したサービスが選びやすくなるからです。たとえば、情報漏洩や情報の持ち出しの防止を目的としている場合は、デバイスの操作やアプリの利用などを制限する「デバイス制御機能」を備えているサービスや、端末の一括管理や遠隔操作機能を持ち合わせたサービスを導入するのが有効です。 MDM導入の際は、このように目的や用途を明確にするところから始めましょう。利用できる機能の確認導入を検討しているMDMサービスにどのような機能が備わっているのか、十分に把握しておきましょう。たとえば、主に通話で使用するモバイル端末を管理したいのであれば、一括管理機能や遠隔操作機能は必要ないかもしれません。 MDMの機能を正しく理解することで、サービスを選ぶ際に失敗するリスクを下げられます。コストの把握 MDMサービスは、導入時の初期費用のほかに維持費も必要です。運用コストも考慮しながら料金体系を確認し、予算に見合ったサービスを選びましょう。なおMDMサービスによっては、複数台を契約することで対象となる割引プランが用意されているものもあります。そのようなプランがあることも考慮しつつ、維持費のことも考えながらサービスの料金を確認してください。対応OSの確認 MDM導入前に、対応OSも確認しましょう。MDMが対応している代表的なOSはこちらです。 macOS Windows iOS（iPhone）、iPadOS（iPad） Android 一部のOSにのみ対応しているMDMサービスもあるため、どのOSに対応しているか利用前に確認してください。サポート体制 MDMサービス導入の際は、サポート体制も確認しましょう。なぜなら、導入から運用までに多くの問題が発生する可能性があるからです。専任のスタッフによるアフターフォローをセットにしているMDMサービスもあります。そうしたMDMサービスを選ぶことで、スムーズに運用を開始できるでしょう。まとめ本コラムでは、MDM（モバイルデバイス管理）の概要やMAMとの違い、MDMのメリット、デメリットなどを解説しました。情報のデジタル化が促進されるなか、モバイル端末の管理は多くの企業にとって切迫した課題です。特に多くの個人情報を扱う企業の場合は、セキュリティリスクの観点からMDMサービスの導入が有用です。 MDMサービスは提供する企業によって、機能や対応OS、コストなどが変わります。本コラムで紹介した「MDMサービスを導入するときのポイント」も参考に、MDMの活用を検討してみてはいかがでしょうか。

デジタルリスクマネジメントとは？DX時代におけるデジタルリスクの原因と対策

ビジネスシーンでは、デジタル化やDX化が進んでいます。デジタル化やDXには多くのメリットがあるものの、同時にリスクも存在します。起こり得るリスクにはどのような対策があるのでしょうか。本コラムでは、デジタルリスクの具体例と発生要因、企業に求められるデジタルリスクマネジメントを解説します。 DXを推進するうえで考えるデジタルリスクとは経済産業省では、「DX推進指標」における「DX」を以下のように定義しています。企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズをもとに、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること。 ※引用：デジタルガバナンス・コード2.0 （経済産業省） DX化を念頭においた企業活動が推進されるなかで、デジタルリスクへの理解と対応が求められています。デジタルリスクとは、インターネット利用や業務のデジタル化に伴い発生するビジネス上のリスクのことです。 ITツール、デジタルデバイス、SNSをビジネスシーンで活用する機会が増え、大きなメリットを得られるようになりました。しかし同時に、デジタル化は企業への信頼を損ねかねない事態に進展するようなトラブルのリスクも抱えています。デジタルリスクは、どの企業にも起こりうる問題です。そのため企業規模や業種を問わず、すべての企業がデジタルリスクについて理解し注意する必要があります。デジタルリスクが起こる原因デジタルリスクの発生原因を解説していきます。サイバー攻撃への対策不足サイバー攻撃は世界規模で問題視されています。実際に企業や行政機関が外部からのサイバー攻撃の標的となり、被害を含めた事象がニュースになることも少なくありません。サイバー攻撃にはいくつかの目的がありますが、近年では、金銭に関係する犯罪が目につくようになり、社会的課題として認識されるようになりました。サイバー攻撃に関連して、セキュリティシステムを軽視する姿勢も同じように問題視されています。セキュリティシステムが盤石でない場合、使用するパソコンのウイルス感染や、機密情報の外部流出につながるおそれがあるためです。ソーシャルメディアの不適切な使用今やソーシャルメディアは、企業のマーケティング活動において欠かせないツールとして認識されています。しかし使い方を間違えると、さまざまなリスクにさらされる可能性もあります。その代表例が炎上です。炎上につながるリスクには、企業全体によるものと従業員によるものが考えられます。企業による炎上リスクの例は、広報活動時の手法や内容に関する批判、製品・サービスの不備への批判、発生したトラブルに対し不適切な内容の謝罪文の掲載などです。従業員側に起因する炎上リスクの例は、各種ハラスメントなどの内部告発、公序良俗に反する行動や違法行為など不適切な内容の投稿などが挙げられます。 ITリテラシーの欠如従業員のITリテラシーの程度も、デジタルリスクの発生に関係しています。業務で使用するパソコンやソフトをはじめ、デジタルツールの使い方がわからなかったり、正しく活用できなかったりする従業員が多いと、情報漏洩などのデジタルリスクが高まります。目的の不明確なデジタルトランスフォーメーション DXを推進する企業は増加傾向にあります。しかし、なかにはDXの意味をあまり理解しないままDX推進に取り組んでいる企業もあるかもしれません。あくまでもDXは、企業の優位性を上げたり、業務効率化を図ったりするための手段です。自社にとってどのようなメリットがあるのか、またDX化に必要な対応について従業員が理解しないままDXを推進しても、導入したデジタル技術を使いこなせず混乱が生じます。結果的に従業員のパフォーマンス低下や、先述したサイバー攻撃への対策不足などの原因になるとも考えられるでしょう。デジタルリスクがもたらす企業への影響ここでは、デジタルリスクが企業にもたらす影響を確認しましょう。社会的信用の低下社会的信用の低下には、特に注意が必要です。たとえば企業SNSでは、投稿が予期せぬ炎上につながる恐れがあります。企業SNSに問題のある内容を投稿すると、投稿した内容はまたたく間に拡散され世間に知れ渡り、企業の社会的信用が低下します。セキュリティ対策のほころびによる情報漏洩なども、同様に社会的信用の低下につながる可能性があるので注意が必要です。損害賠償請求サイバー攻撃などが原因で企業の所有する個人情報が外部へ流出すると、損害賠償を被害者側から求められることがあります。また、サイバー攻撃によって自社システムがダウンし、取引先の業務に支障をきたすような事態にまで進展するようなことがあれば、取引先からも損害賠償請求を求められる可能性もあります。ビジネスチャンスの喪失デジタルリスクにより、ビジネスチャンスを失う可能性もあります。たとえば、1日100件の購買があるECサイトがサイバー攻撃によって狙われた結果、閲覧不可能になり、復旧までに1週間かかったとすると、単純計算で商品700件分の売上を逃すことになります。上記のようなケースがメインの事業で起きた場合には計り知れない損失になり、自社にとっての大切なビジネスチャンスを失いかねません。このように、デジタルリスクマネジメントが不十分なために起こるさまざまなリスクが、ビジネスチャンスの喪失につながります。企業が取り組むべきデジタルリスクマネジメント DXを推進するなら、デジタルリスクを想定した対策は必要です。ここでは、企業に求められるデジタルリスクマネジメントをお伝えします。 ITリテラシー教育の推進デジタルリスクマネジメントに取り組むにあたって欠かせないのが、従業員のITリテラシー教育です。従業員のITリテラシーを底上げするためにも、ITリテラシーに関する研修を社内で実施することは大切です。デジタルリスクが招くトラブルや自社の損害について学ぶ機会があれば、従業員は危機意識を高められるでしょう。また、ITツールやデジタルデバイスの利用にルールを定めることもリスクマネジメントの一例です。たとえば業務で使用するパソコンの持ち出しに関して、持ち出し中に立ち寄る場所や自宅への持ち帰りを報告するようにしたり、上司による許可制を導入したりするなどです。パソコンやITツールの扱いに慣れていない従業員には、必要に応じてフォローも実施します。デジタルリスクやITリテラシー教育について知識のある人物が社内にいなければ、外部の専門人材を活用して教育体制を強化することも視野に入れましょう。情報セキュリティ対策企業の機密情報を外部に流出させないためには、情報セキュリティ対策の見直しも重要です。セキュリティソフトの導入はもちろん、導入後には、セキュリティが正常に維持されているか保証期限の確認や、最新バージョンの内容に更新されているかも定期的に確認してください。保証期限が切れていたり最新バージョンに更新されていたりしないと、セキュリティ環境が十分な状態を維持できず、サイバー攻撃に遭った場合に情報漏洩やウイルス感染などのリスクが高まります。情報セキュリティ対策の一環として、セキュリティを管理できるシステムの導入も検討しましょう。 SNSガイドラインの作成企業や従業員のSNSの利用にあたっては、利用する際の指針やルールを定めたガイドラインの作成が重要です。 SNSでやって良いことや駄目なことを明記したり、万が一トラブルが発生した際の対応を定めたりすることは、SNS利用によるリスクを最小限に抑え、企業の信頼を守ることにつながります。まとめデジタルリスクは、社会的信用の低下・損害賠償請求・ビジネスチャンスの喪失など、企業活動に対してダメージを与える要因になります。金銭的な損害だけでなく、企業イメージの低下を招く場合もあることから、デジタルリスクは企業の業績に悪い影響を与え、企業経営そのものを圧迫しかねません。デジタルリスクを低減するには、セキュリティ対策の整備、従業員を対象にしたITリテラシー教育ならびにSNS利用規定の作成と周知などが必要です。ぜひ一度自社のデジタルリスクを洗い出し、リスクマネジメントの対策とあわせて考えてみてはいかがでしょうか。

IT業界の現状や課題｜将来性やトレンドを徹底解説

IT業界は新技術の登場と各業界での導入が進んでいることから、市場規模は拡大傾向にあります。本コラムでは、IT業界の現状や課題のほか、近年のトレンド、業界全体の将来性も解説します。IT業界について詳しく知りたい方は参考にしてください。 IT業界の基礎知識まずは、IT業界の概要、市場規模について確認しましょう。 IT業界とは ITはコンピューターやデータ通信に関連する情報技術（Information Technology）を指し、IT業界はITを活用したサービスを提供する業界を指します。 IT業界は業種や業態が複雑化しているため、分類が難しい業界です。どのようなサービスや商品を提供しているか（事業分野）で分けると、主に以下の4つに分類できます。 Webサービス SIer（情報処理）パッケージ／プラットフォームハードウェア参考：IT業界ってどんなところ？職種や企業分類、転職に役立つ業界動向まで解説（doda転職サービス）国内の市場規模 IT業界は、日本の産業区分で情報通信産業（ICT）に分類されています。令和3年版情報通信白書によると、2019年の情報通信産業の国内生産額（名目GDP）は51.7兆円、2018年から2019年にかけての実質GDP成長率は0.9％です。この数字は、医療・福祉（2.4％）、対事業所サービス（1.4％）、対個人サービス（1.1％）に次いで4番目に高い成長率です。 ※出典：令和3年版情報通信白書第4章ICT分野の基本データ（総務省） IT業界の現状 IT業界の市場規模の推移令和4年版の情報通信白書によれば、日本における民間ICT市場は、2020年度は12兆9,700億円と、前年比0.6％増となりました。新型コロナウイルス感染症の感染拡大による影響により、特に中堅中小企業を中心に、ICTへの投資を中止・先送りした企業が多かったものの、大企業では計画通りに投資が進められました。また、テレワークの実施・浸透に向けた整備、デジタル化などの必要性を認識した企業によって投資が加速したことが背景にあるとみられています。市場規模は、2021年度は13兆3,300億円、2022年度は13兆6,400億円、2023年度は13兆8,800億円と予測されており、今後もさらなる成長が見込まれていると理解できます。出典：令和4年版情報通信白書第2部第3章第1節 ICT産業の動向（総務省） IT業界の平均年収は高水準 IT業界の平均年収は、他業界よりも高い傾向にあります。経済産業省が2017年に発表した「IT関連産業の給与等に関する実態調査結果」によると、IT業界の平均年収の目安は以下の通りです。新人・初心者レベル…437.8万円中堅レベル…576.0万円チームリーダーレベル…726.1万円出典：IT関連産業の給与等に関する実態調査結果（経済産業省）なお、2018年に国税庁が発表した民間給与実態統計調査結果を見ると、1年を通じて勤務した給与所得者の年間平均年収は441万円のため、IT業界の平均年収は高いことがよくわかります。出典：平成30年分　民間給与実態統計調査（国税庁） IT業界が抱える課題市場拡大と高い需要などにより堅調に成長しているIT業界にも課題はあります。ここからはIT業界が抱える課題を見ていきましょう。人手不足 IT企業が抱える課題で特に大きいのは、人手不足です。 2019年に経済産業省が公表した「IT人材需給に関する調査」によれば、IT需要の拡大に伴い、IT人材不足は年々増加すると予測されました。調査では、2030時点の推定IT人材需給ギャップを予測するにあたり、生産性上昇率を0.7％、IT需要の伸びを低位（1％）・中位（2〜5％）・高位（3〜9％）を試算の条件に設定。仮に高位シナリオの経緯を辿る場合、2030年には約79万人のIT人材不足が見込まれるという結果になりました。引用：IT 人材需給に関する調査（経済産業省）労働環境の改善 IT業界では、長年にわたり長時間労働が課題とされてきました。長時間労働の原因の一つとして、開発をチームで行うため作業の進捗や品質の管理が難しく、個人の経験などに依存しやすいというITエンジニアの仕事の特性があります。また、多重下請構造というIT業界特有の受発注の仕組みによるものもあるといわれています。働く現場が疲弊してしまっている環境はよくありません。市場拡大と共により良い産業を実現するためにも、労働環境の改善は優先事項の一つといえるでしょう。国際的な市場競争の激化デジタル分野のビジネスでは、国境や実際の距離などがビジネスにおけるハンディキャップになることはありません。そのため、海外の競合他社の存在を見据えた戦略と競争が求められます。日本企業は、世界に出る力が弱いといわれています。日本のIT業界は市場が拡大していくと予想されているものの、先を見据えて世界で勝ち抜いていけるだけの力をつけることが課題と考えられるでしょう。 IT業界のトレンドを調査近年のIT業界でのトレンドを調査しました。具体的な内容をご紹介します。 DX（デジタルトランスフォーメーション） DXとは、新たなデジタル技術を活用することで、社会や人々の暮らしをよりよい方向へ変革することです。 2020年から新型コロナウイルス感染症が流行したことで、IT化やデジタル技術導入などのDX化が企業や組織で進みました。DX推進のための組織を設ける企業も増え、DX推進を担えるDX人材の獲得が企業にとって急務な課題とされています。 AI（人工知能） AIの活用は、マーケティングの高度化、製造業の自動化、自動車の自動運転など、さまざまな業界と分野へ広がりを見せています。 AIの事業化では、特にデータサイエンティストやAIプランナーが重宝されており、各社とも好待遇で採用する傾向があります。 IoT（Internet of Things） IoTは、情報端末以外のモノでもインターネットに接続可能な機能を追加して、より便利に使えるようにすることです。身近なところでは、自ら移動し掃除するお掃除用ロボットがよく知られています。 IoTも、AIと同様にあらゆる分野での活用が進み、さらなる発展も期待されていることから、より人材が求められています。 VR（仮想現実）AR（拡張現実） VRは、ゴーグルなどの専用デバイスを装着した状態で、画像や音声などコンテンツを流すことにより、あたかも映像内にいるかのような体験を可能にする技術です。 ARは、実在する風景にデジタル情報を重ねて表示する技術です。スマートフォンのカメラを起動するとアニメキャラが画面上に登場するアプリ、建物の見取り図に3Dモデル化した家具などを配置できるコンテンツなどがあります。 5G 5Gは「高速・大容量」「低遅延」「多接続」といった特長をもつ通信システムで、2020年3月に5Gサービスが開始されました。 5Gサービスの開始により、より多くのIoT機器の同時接続が可能になるなど、IoTが生活により深く浸透する時代が到来しました。そのほか、5Gによって自動運転や遠隔医療、VR・ARなどに磨きがかかっていくと予想されています。 RPA（ロボティック・プロセス・オートメーション） RPAとは、オフィスワークとしてパソコン上で行ってきた業務を、ロボットによって代行・自動化する技術です。 RPAの導入メリットは、単純作業をロボットに任せることにより業務効率化や生産性の向上に加え、人的ミスの抑止、さらには人手不足の解消も期待されています。 RPAはすでに金融業界や流通業界などを始め、あらゆる業界で導入されており、今後さらに普及が加速すると考えられています。セキュリティ IT技術の導入が進んだことにより、あらゆる業界で企業はサービス利用者が登録した各種情報を安全に管理する必要が生じました。サイバー攻撃は年々高度化しており、セキュリティ対策は急務といえるでしょう。セキュリティに関連して、利用者のプライバシー保護も注目を集めています。データトラッキングやスマートフォンによる追跡が一般化したためで、個人のプライバシーを守るため法整備やIT業界全体の自主的な取り組みが待たれています。 X-Tech（クロステック） X-Techとは、既存ビジネスにIT技術をかけあわせて新たな価値や仕組みを生み出す取り組みや誕生した新製品、サービスのことです。X-Techは、金融業界、農業業界、医療業界、スポーツ業界などで広がりをみせています。ブロックチェーンブロックチェーンは、ネットワーク上にある端末同士を直接接続し、暗号技術を用いて取引履歴を分散的に保管する技術です。ブロックチェーンは、データ改ざんが難しいことに加えて、複数名で同一データを共有することが可能なため、情報の透明性が担保されていることが特長です。主に金融業界での導入が進んでいます。ブロックチェーンの技術自体は革新的で、将来的には金融分野以外にも、著作権管理、行政手続きなどへの導入が期待されています。 IT業界は今後どうなる IT業界は今後どのように展開していくのでしょうか。将来性について考えていきます。 IT業界は今後も成長し続ける AI、5Gなど新しい技術が次々に生まれ、それらの技術はあらゆる業界と分野での導入が進み、DXも加速し続けています。既存技術の応用やブラッシュアップはもちろん、今後、さらなる新技術が開発される可能性も十分あります。 IT業界はこれからも幅広い産業と結び付きながら、成長していくと考えられるでしょう。需要の変化が起きる経済産業省が公表した「IT 人材需給に関する調査」では、デジタル技術の発展に伴い新たなIT需要が拡大し、需要の構造に変化が生じるとみています。 AIやIoT、ビッグデータの活用といった最先端技術に対応できるIT人材は需要が供給を上回っていく一方、従来から続くIT需要は中長期的に見れば徐々に市場規模が縮小すると予測。それに伴い、従来型のIT需要に対応する人材需要も減少するとしています。参考：IT 人材需給に関する調査（経済産業省）政府の取り組み 2021年、デジタル庁が発足しました。政府・自治体を中心にデジタル化への取り組みが進んでいる状況です。政府がまとめた「IT戦略の概要〜デジタル強靭化社会の実現に向けて〜」では、民間企業にとどまらず行政や地方自治体でもデジタル化支援を進めること、テレワーク／リモートワークや学校教育、遠隔診療などの実現と円滑化な実施に向けた環境整備について言及しています。また、デジタル化を推進する企業に対する減税措置なども実施しています。今後も、政府・自治体からのIT需要は高まっていくでしょう。 ※出典：IT新戦略の概要〜デジタル強靱化社会の実現に向けて〜（内閣官房IT総合戦略室）まとめ世界中でIT化が進むなか、IT業界は今後さらなる発展が期待される市場です。一方、大幅なIT人材不足など、課題も複数抱えています。 IT技術は人々の生活や企業の発展に欠かせないものです。成長産業の動向を、今後も注視してみてはいかがでしょうか。

ゼロトラストとは？従来型との違いや必要な要素を解説

テレワーク／リモートワークの普及にともない、会社以外でインターネットに接続する機会が増えたことで、「ゼロトラスト」と呼ばれる新たなセキュリティの考え方が注目を集めています。ゼロトラストとはどのような考え方で、これまでのセキュリティに対する考え方とどのように異なるのでしょうか。本記事では、ゼロトラストの概要や従来のセキュリティとの違い、運用時のポイントを解説します。ゼロトラストとはゼロトラストとは、社内と社外で分けていたネットワークの境界を捨て去り、情報資産にアクセスしてくるすべての通信を信用しないセキュリティの考え方です。テレワーク／リモートワークの普及に加え、モバイル端末やクラウドサービスの活用により、社内にいても社外のサービスへアクセスする、もしくは社外から社内のネットワークにアクセスするケースが増えました。さまざまな通信の安全性を見極め、セキュリティを維持するためにも、ゼロトラストは欠かせない考え方です。ゼロトラストと従来型セキュリティモデルの違い従来型のセキュリティモデルは、社内からの通信を信頼し、社外からの通信を信用しない考え方でした。社内と社外の境界にファイアウォールを設置し、不正な通信を遮断する境界型セキュリティだったのです。しかし、テレワーク／リモートワークの普及やクラウドサービスの台頭によって、この境界を行き来する頻度が増えています。このように社内と社外の区別が曖昧になった昨今は、ファイアウォールを設置する境界型セキュリティでは外部からの脅威に対応できません。ゼロトラストは、社内と社外の境界をなくす代わりに認証や監視を強化し、従来以上のセキュリティ環境を施します。ゼロトラストが必要になった3つの背景ゼロトラストが必要になった背景には、主に以下の3つがあります。テレワーク／リモートワークの普及クラウドサービスの活用シャドーITの増加テレワーク／リモートワークの普及テレワーク／リモートワークの普及により、従業員が外出先で、安全性の担保されていないパブリックなネットワークを利用する可能性があります。これは、マルウェアの感染や通信の盗聴、社内ネットワークへの不正侵入につながるリスクを高めます。従業員が社外から社内のネットワークにアクセスするケースも増えており、セキュリティリスクのある端末を社内環境へアクセスさせないためにも、ゼロトラストは重要です。クラウドサービスの活用業務に関するクラウドサービスの利用が増え、社内で管理している情報資産とデータ連携を実施しているケースもあります。そのとき、クラウドサービスと社内のサーバー間で通信が発生するため、クラウドサービスのセキュリティ対策も必要です。シャドーITの増加シャドーITとは、従業員がプライベートで使用するパソコンやスマートフォンなど、情報システム部門が管理していない端末を社内のネットワークにつなげる、あるいは未許可のアプリを社用端末にインストールして業務に利用することです。シャドーITが増加した場合、セキュリティのリスクを抱えた状態の端末が社内のネットワークにアクセスしてくる可能性が高くなります。例えば、その端末がすでにマルウェアに感染していると、社内に感染が拡大してしまうリスクがあるため、注意が必要です。ゼロトラストでは、端末の認証を強化することで、情報システム部門が管理している端末以外の侵入を防げるでしょう。ゼロトラストで重要な4つの要素ゼロトラストは、以下の4つの要素が重要です。デバイスクラウドネットワーク保守運用デバイスデバイスは、企業で利用するパソコンやスマートフォンなどのIT機器を指します。ゼロトラストでは、デバイスに対する各種制御が必須であり、デバイス管理や次世代ウイルス対策ソフトの導入が求められます。デバイス管理は、ツールによってさまざまな機能があります。一般的にはインストールしたデバイスのOSバージョンやアプリケーションを把握し、最新の状態を保って、攻撃者に付け込まれないように管理していきます。次世代ウイルス対策ソフトはEDR（Endpoint Detection and Response）と呼ばれ、マルウェアが侵入した後の検知や対処に重点をおいた製品です。クラウドクラウドサービスを利用するときは、権限レベルに応じたアクセス制限や、各種サービスのユーザー情報の管理などが求められます。最近は多くのオンラインストレージが登場し、個人でも利用する方が増えているため、企業の機密情報を簡単に外部へ持ち出せる時代です。情報の持ち出しを防ぐためにも、ツールの導入や、オンラインストレージでのファイル共有を制限するとよいでしょう。ネットワークネットワークでは、VPNの活用やURLフィルタリングの強化などによって、安全な通信を実現することが求められます。 VPNとは仮想的な専用回線のことで、社外から社内の環境へアクセスするときに安全な通信を実現します。テレワーク／リモートワークの普及で、自宅から社内の業務サーバーにアクセスする機会が増えているため、社外からの通信はVPNを活用することも選択肢のひとつです。 URLフィルタリングは、インターネット上のWebサイトへアクセスするとき、指定したURLのWebサイトへのアクセスを禁止する仕組みです。社内のデバイスが悪意のあるWebサイトにアクセスし、マルウェアに感染しないためにも実施しなければなりません。保守運用保守運用では、不正な通信を検知できる仕組みづくりや、事故発生時の運用体制の構築などが欠かせません。サイバー攻撃が巧妙化されている昨今は、外部からの不正な通信を検知できるかが重要です。不正な通信を検知する仕組みとしては、SOC（Security Operation Center）サービスの利用がよいでしょう。 SOCとは、ネットワーク機器やサーバーなどの監視を常におこない、外部からの不正な通信を検知する専門チームのことです。社内で常に監視するのは限界があるため、外部のSOCサービスに依頼することでサイバー攻撃を素早く検知できます。また、サイバー攻撃を検知した場合、社内でどのように対応していくか明確にしておきましょう。被害の最小化や原因の特定に向けた関係部署や外部への連絡など、さまざまな対応が求められるため、事前にインシデント発生時の体制を構築しておくとスムーズに動けます。ゼロトラストのメリットゼロトラストには、以下3つのメリットがあります。社外から社内へのアクセスが可能セキュリティレベルの向上 DXの推進社外から社内へのアクセスが可能ゼロトラストは社内と社外の境界をなくす考え方のため、ゼロトラストのセキュリティ対策を施せば社外から社内環境へのアクセスが可能です。従来は、社外からの通信を前提としていなかったため、社外から社内へのアクセス時は境界型のセキュリティ対策が邪魔をしていました。しかし、ゼロトラストの考え方でセキュリティ対策をすると、認証の強化という新たなセキュリティ対策を実施するため、ユーザー認証や端末認証によって社内にアクセスできます。セキュリティレベルの向上ゼロトラストは、社内ネットワークやクラウドサービスへのアクセス時に二段階認証や多要素認証などを組み合わせるため、セキュリティレベルの向上が期待できます。二段階認証はIDとパスワードでログインしたあとに、デバイスへの通知やメール送信によって本人認証をする方法です。そして、多要素認証は知識情報、所有情報、生体情報のうち、ふたつ以上の要素を組み合わせて認証する方法です。ゼロトラストは、2要素を取り入れた二段階認証を利用するケースが多いため、たとえIDやパスワードが流出しても、デバイスの紛失などがない限り、不正にログインされるケースは少ないでしょう。 DXの推進社内と社外の境界がなくなることで、社内システムとクラウドサービスのデータ連携が可能になるため、社内DXの推進が期待できます。 DXでは各システムのデータをひとつの基盤上に統合し、そこで分析した結果を企業の意思決定に役立てるデータドリブンな組織づくりを目指します。クラウドサービスと社内システムの連携により、あらゆるデータを基盤上で統合できるため、ゼロトラストへの転換はDXの推進を加速させるでしょう。ゼロトラストのデメリット一方、ゼロトラストには、以下のデメリットがあります。利便性が悪くなる可能性もあるコストがかかる利便性が悪くなる可能性もあるアクセス制限や認証の強化によって、通常の業務を実施するためのプロセスが増え、業務上の手間が増えるケースが考えられます。例えば、今までアクセス時の認証をしていなかった場合、認証プロセスを導入することで、認証するための作業が増えます。セキュリティは、強固にするほど業務上の制約が強くなってしまうので、業務とセキュリティのバランスを見極める必要があるでしょう。コストがかかるゼロトラストを実現すると、ソリューションの導入費用や、各種システムの改修など、多くのコストが発生します。ゼロトラストに効果的な製品はさまざまで、自社にあった製品選定が大切です。効果的なものをすべて導入するのではなく、費用対効果を見ながら進める必要があります。また、ゼロトラスト導入後は、問題なく動いているかを定期的にモニタリングする必要があり、監視する対象が多いほど、運用コストは大きくなります。もし企業内でモニタリングする人材が不足している場合は、SOCサービスを活用するなど、外部リソースに頼るとよいでしょう。ゼロトラスト導入・運用時のポイントゼロトラストの導入時には、以下のポイントを意識しましょう。認証の強化ユーザー行動の可視化認証の強化クラウドサービスの活用やITツールの導入が進んでいるため、ひとりのユーザーに複数のアカウントを与えているケースは数多く見受けられます。ゼロトラストでは、今まで以上に認証方法が厳格になるため、アカウントの管理も慎重におこなわなければなりません。もし、同じIDやパスワードをすべてのシステムで使い回していた場合、流出と同時に被害は大きく広がります。IDやパスワードは使いまわさず、システムごとに異なる設定をしてください。ただ、すべてのIDやパスワードを記憶するのは難しいので、一度のユーザー認証で複数のシステムが利用できるシングルサインオンを導入するのもよいでしょう。ユーザー行動の可視化ゼロトラストではデバイスのアクセスログ、利用しているアプリケーション、ファイルの移動履歴など、ユーザーの行動を取得し、いつでも見られる状況にしておいてください。もし、不正アクセスや情報の流出が発生しても、ログを頼りに原因究明ができます。さらに、不正な行動をしそうなユーザーを事前に特定し、脅威になりうる攻撃を未然に防ぐことも可能です。まとめゼロトラストは、社内と社外の区別をなくし、すべての通信を信頼しない考え方です。昨今はリモートワークの普及によって、社外から社内へのアクセスが増えただけでなく、クラウドサービスの活用で社内から社外へのアクセスも増加しています。社内と社外の境界が曖昧になっているため、場所ではなく人やデバイスごとにさまざまな制限をしていかなければなりません。セキュリティ対策が進んでいない企業は、認証の強化やユーザー行動の可視化をおこない、ゼロトラストセキュリティを実現していきましょう。

クラウドセキュリティとは？利用時のリスクや対策方法を徹底解説

クラウドサービスはその利便性の高さから、現在多くの企業で利用されています。ただし、利用時のリスクやセキュリティ対策につき、詳細まで把握されている方は少ないのではないでしょうか。本コラムでは、「クラウドセキュリティとは何か」といった概要説明からはじまり、利用時のリスクや具体的な対策方法などにつき詳しく解説します。クラウドセキュリティとは？クラウドセキュリティの概要クラウドセキュリティとは、クラウド環境でのリスクに対するセキュリティ対策を指す言葉です。セキュリティ対策には、機密データをサイバー攻撃から保護するためのツールや技術、ポリシー、各種認証などが含まれます。企業がクラウドサービスを利用する際、クラウドセキュリティ対策は不可欠な経営課題として考えられています。どのようなリスクがあるのか？クラウドセキュリティ対策を実施しない場合、企業にとってどのようなリスクがあるのでしょうか。以下に主なリスクをご紹介します。情報漏洩クラウドサービスでは、外部サーバにデータが保管しているため、データセンターへの不正アクセスなどにより、機密データが外部に流出してしまう恐れがあります。仮に顧客の個人情報などが漏洩した場合、企業の信用は瞬く間に失墜し、今後の事業継続が危ぶまれる事態に陥る可能性もあります。情報漏洩の防止に向けてクラウドサービスを利用する際は、対象サービスが「サイバー攻撃に耐えられる高度な安全性が確保されているか」につき、充分に確認するようにしましょう。データ消失データセンターがある地域の災害やサーバの障害、外部からの不正アクセスなどにより、クラウドサービスを提供する事業者に何らかのトラブルが発生した場合、保管していたデータが消失する恐れがあります。データの消失は事業運営に大きな影響を及ぼすため、そのリスクを避けるためにも、定期的にバックアップするなど、データの保護に努めましょう。シャドーIT シャドーITとは、企業が許可していない個人所有の端末（スマートフォン、パソコン）や個人契約のクラウドサービスを、従業員が業務に利用することを指します。企業の管理外のIT端末やクラウドサービスが利用された場合、ウイルス感染や情報漏洩のリスクが高まるため、シャドーITが利用できない体制を社内で構築することが大切です。ただし、社内体制を整備したのにも関わらず、業務の効率化などを理由にシャドーITの利用が減少しない場合は、現実的な代替え案を用意するなどし、高いセキュリティ環境の構築を目指しましょう。不正アクセスマルウェア（不正かつ有害に動作させる意図で作成された悪意のあるソフトウェア）により個人情報が流出した場合、流出したIＤとパスワードを悪意のある第三者が用いて、クラウドサービスに不正アクセスする恐れがあります。不正アクセスの防止には、セキュリティソフトなどを適切に利用し、マルウェアによるIDやパスワード流出を防止することが効果的です。セキュリティソフトが未導入の際は、社内のルール作りや管理体制をいち早く整え、不正アクセスに備えましょう。セキュリティ対策が必要とされる背景サイバー攻撃は年々高度化・巧妙化しており、企業の事業運営に深刻な影響を及ぼすケースが増加しています。セキュリティ対策の脆弱性により、情報漏洩などのセキュリティ事故が発生した場合、「顧客への損害賠償」や「行政指導」、「自社のブランド力の低下」、「株価の下落」など、大きな経営損失を企業が被る恐れがあります。また、セキュリティ事故は顧客や取引先といったステークホルダーが被る損失も大きいため、社会的信用が失墜し、取引停止に伴う業績悪化や、最悪の場合倒産に追い込まれる可能性もあります。このような事態を未然に防ぐためにも、企業の社会的責任（CSR）として、セキュリティ対策に取り組む必要性が増しているのです。クラウドサービスに特化した6つのセキュリティ基準クラウドサービスに特化したセキュリティ基準には、どのようなものがあるのでしょうか。以下に代表的なものをご紹介します。 ISMSクラウドセキュリティ認証（ISO27001/ISO27017） ISMSクラウドセキュリティ認証とは、クラウドセキュリティに関する第三者認証です。この認証を受けることにより、クラウドサービスに関する情報セキュリティを適切に管理している組織であることを示せます。認定後は、年一回のサーベイランス審査と3年に一度の継続審査を受ける必要があります。認証対象：全世界 CSマーク CSマークとは、クラウド情報セキュリティ管理基準に基づいて、クラウドサービスに求められるセキュリティ水準を満たした監査を実施した際に付与されるものです。 CSマークはJASA（日本の特定非営利活動法人日本セキュリティ検査協会）による情報セキュリティ監査制度であり、JASAにより認定された組織は、監査を受けた基本言明書にCSマークが付与されます。また、CSマークの認証段階にはゴールド（第三者認証）とシルバー（自主監査）の2種類があり、レベルや目的に応じて対象を選択できる点が特徴です。認証対象：日本のみ CSA STAR認証（CSA Security） CSA STAR認証とは、米国のクラウドコンピューティングのセキュリティを確保するための業界団体であるCloud Security Alliance （CSA）が提供するクラウドセキュリティの認証制度です。認証取得に際し、自己認証、第三者認証、継続審査の3段階の認証を受ける必要があります。認証対象：全世界 StarAudit Certification StarAudit Certificationは、Euro Cloud Europe (ECE)による認証制度を指します。StarAudit Certificationではクラウドサービスでの確認要件を 6つの領域（※）に分類し、それぞれの星（Star）の数につき、Star 3〜5の範囲内で評価する点が特徴です。 ※6つの領域CSP（クラウドソリューションプロバイダ）の情報、法的事項、セキュリティ及びプライバシー、データセンター、運用プロセス成熟度、クラウド形態（IaaS、PaaS、SaaS）認証対象：全世界 FedRAMP FedRAMPはFederal Risk and Authorization Management Programの略称であり、米国政府機関が採用しているクラウドサービスに関するセキュリティ評価・認証の統一ガイドラインです。米国政府機関に自社サービスを提供するためには、設定されたセキュリティ基準を満たす必要があります。認証対象：全世界 SOC2,SOC2＋ SOCとは、System and Organization Controlsの略称であり、米国公認会計士協会（AICPA）が定めた「Trustサービスの原則と規準」に基づき、委託会社の内部統制やサイバーセキュリティについての評価を行うものです。その評価結果を発行したものが、「SOC2保証報告書」になり、SOC2+では任意の基準を加えて範囲を拡張することも可能です。 SOC2, SOC2+の保証報告書には、「記述書の内容に則って運用が行われているか」といった監査法人による評価の結果も含まれているため、委託会社の運用実態を把握できる点がメリットとして挙げられます。認証対象：全世界クラウド環境における7つのセキュリティ対策セキュリティリスクは、適切なセキュリティ対策を講じることである程度抑えられます。クラウド環境における7つのセキュリティ対策を、以下にご紹介します。情報の暗号化インターネットを通じて利用するクラウドサービスは、通信時にデータを読み取られるリスクがあるため、情報の暗号化が効果的なセキュリティ対策になります。情報の暗号化とは、インターネット上のデータに暗号化処理を施し、第三者から情報を読み取れない状態にすることです。インターネット上でデータを暗号化し送受信する仕組みの一つに、SSL（Secure Sockets Layer）があります。一例として、HPにSSLを導入した場合、訪問者のブラウザとサーバ間のデータ通信が暗号化されます。データ通信の暗号化により、仮に第三者に情報を傍受された場合でも内容を解読することができないため、情報の盗聴や改ざん、不正アクセスのリスクを低減できる点は企業にとって大きなメリットです。データのバックアップクラウドサービスを提供する事業者に何らかの障害や不具合が発生した場合、保管していたデータが消失する恐れがあるため、セキュリティ対策上、データのバックアップは不可欠です。不測の事態に備え、会社のサーバや外付けドライブなどにデータを保存するなど、定期的なバックアップを実施しましょう。ユーザー認証パスワードを総当たりで解析する「ブルートフォースアタック」を通し、IDやパスワードなどの認証情報が攻撃対象者に特定されるケースがあります。そのためセキュリティ対策を構築する際は、ワンタイムパスワードの導入やパスワード連続間違いによる制限を設定するなどし、ユーザー認証を強化することも大切です。多要素認証の導入多要素認証は、複数の要素でログイン認証する、セキュリティ対策の一つです。多要素認証の活用例として、指紋や顔などの生体情報を利用する「生体認証」や、スマートフォンなどの別の通信機器を認証時に利用する「二段階認証」などがあります。複数の要素を組み合わせることで、仮に一つが不正にアクセスされた際も、他の要素が突破できない場合、認証されないことから、セキュリティ強度を高められる点が多要素認証のメリットです。強固なセキュリティ対策となるため、積極的な導入の検討をおススメします。データ保管場所の把握企業のセキュリティ対策として、データの保管場所を考慮することも重要になります。なぜなら、海外サーバを利用している場合、その国の法律により、強制的にデータを差し押さえられる場合があるからです。また、津波や地震の影響で、データが保存されているサーバに不具合が生じるリスクもあります。クラウドサービスを利用する際は、国内のデータセンターを選択するなど、データの保管場所も考慮した上でセキュリティ対策を推進しましょう。アクセスログの情報管理アクセスできるIPアドレスの制限や管理外の外部端末によるアクセスの禁止など、アクセスログの情報管理の徹底により、不正アクセスを未然に防ぐことも可能です。事業者の選定外部のクラウドサービスを新たに導入する際は、サービスの質やコスト面だけでなく、セキュリティ面の高さも重視しましょう。ただし、搭載するセキュリティレベルがあまりに高過ぎる場合、使い勝手に支障が出る恐れもあります。自社の業務レベルに応じた、最適なセキュリティレベルのサービス事業者を選定することも重要です。まとめ利便性の高いクラウドサービスを利用する際には、セキュリティリスクを把握した上で、適切なセキュリティ対策を講じる必要があります。貴社にとって最適なクラウドセキュリティの構築に向け、本コラムをご参照いただければ幸いです。

IoT機器のセキュリティ対策は必須！過去のサイバー攻撃や対策方法を解説

IoT技術を活用した製品が普及し、IoT機器が数百億個にまで増加すると言われています。便利になる一方で、セキュリティの危険性も拡大しており、すでにIoTに関する脅威が報告され始めています。 IoT機器を活用するうえで、どのようにセキュリティ対策をすれば良いのでしょうか。本コラムでは、対策が求められる背景、セキュリティ危機の事例、セキュリティ対策の進め方などを解説していきます。 IoT導入時に必要なセキュリティとは？ IoTとは？ IoT機器のセキュリティ対策についてお話しする前に、IoTという用語について改めて確認しておきましょう。IoTは“Internet of Things”の略で「モノのインターネット」と訳されています。これまでインターネットに接続されていなかった住宅や車、家電製品、電子機器などが、ネットワークを通じてサーバーやクラウドに接続され、相互の情報交換を可能にする仕組みです。モノがインターネットに接続されることによって、離れたところにあるモノの状態を確認できたり、遠隔操作やモノ同士のデータ送受信などを実現できます。IoT技術の活用によって、これまでにない新たなサービスや高い価値の創出が可能になりました。くわえて、通信インフラやクラウドサービスの高性能化などが後押しとなり、現在IoTの導入はとても身近なものになっています。 IoT特有の性質 IoTは特有の性質があり、そこから想定されるリスクをもちます。そのため、それらの性質とリスクを踏まえたうえで、セキュリティ対策を行うことが大切です。「IoT セキュリティガイドライン ver 1.0 」では、以下6つの性質を上げています。性質1：脅威の影響範囲、度合いが大きい IoT機器はインターネットなどのネットワークに接続しているため、攻撃を受けるとIoT機器単体だけに留まらず、ネットワークを介して関連するIoTシステム・IoTサービスにも影響が広まる可能性があります。また、IoT機器が増えていることから、その影響範囲は日々拡大。たとえば自動車分野や医療分野におけるIoT機器の制御に攻撃の影響が及ぶ場合、生命の危機に瀕することも想定されます。そのほか、IoT機器には重要なデータが保存されている場合があり、そうしたデータの漏えいも考えられます。性質2：ライフサイクルが長い自動車の平均使用年数は12〜13年ほどと言われるなど、IoT機器として想定されているなかには、10年以上にわたって利用されるものがあります。構築・接続時にセキュリティを適用しても、時間の経過と共に対策が不十分になり、IoT機器が危険に晒された状態でネットワークに接続され続ける可能性があるでしょう。性質3：監視が行き届きにくい IoT機器の多くは、スマートフォンやパソコンのような画面を持たないため、人の監視の目が行き届きにくいと想定されています。もしIoT機器に問題が発生していても気づきにくいため、管理されていないものが勝手に接続されマルウェア（有害な動作を行う意図で作られた、悪意のあるソフトウェアやコード）に感染するなどのリスクが想定されます。性質4：IoT機器とネットワーク側の相互理解が不十分 IoT機器側とネットワーク側、それぞれの環境や特性が十分に理解されておらず、IoT機器がネットワークに接続する際に、安全や性能を満たせなくなる可能性があります。性質5：IoT機器の機能・性能が限られているリソースが限られたIoT機器では、セキュリティ対策を十分にできない場合があります。性質6：開発者が想定していない接続をされる可能性がある IoTではあらゆるものが通信機能を持ち、ネットワークに接続されます。そのため、IoT機器メーカーや開発者が想定していなかった接続をされる可能性があり、想定外の影響が発生する可能性があります。参考：IoT セキュリティガイドライン ver 1.0／IoT推進コンソーシアム総務省経済産業省セキュリティ対策が重要視される背景 IoT機器が増加すると同時に、上記の特性やリスクによってサイバー攻撃の脅威に晒されることが多いためです。事実、2018年に観測したサイバー攻撃の約半数がIoT機器を狙ったものであったという調査結果があります。また、マルウェアに感染した機器や乗っ取られた機器を悪用したDDoS攻撃（対象のWebサイトやサーバーに対して、大量の情報を送りつけるサイバー攻撃）の事例も発生しています。こうした攻撃から守るためにも、IoT機器のセキュリティ対策が重要視されているのです。参考：令和元年情報通信白書（第5節サイバーセキュリティ対策の推進）／総務省 IoTを標的にしたサイバー攻撃の事例サイバー攻撃の脅威に晒されることが多いIoT。どのような事例があるのでしょうか。マルウェアMiraiを利用した攻撃米国での事例です。2016年10月、マルウェア「Mirai」に感染した10万台を超えるIoT機器が踏み台となり、Dyn社のシステムに対し大規模なDDoS攻撃が発生しました。Dyn社のDNSサービスを利用している数多くの大手インターネットサービス・ニュースサイトに、アクセスできなくなるなどの障害が発生しました。参考：令和元年情報通信白書（第5節サイバーセキュリティ対策の推進）／総務省 Bluetooth接続の脆弱性を利用した攻撃マルウェアのほか、注意したいのがBluetooth接続を利用した攻撃です。Bluetoothは、無線通信規格の一つです。スマートフォンやパソコンなど、さまざまなデジタル機器に内蔵されており、近年ではスマートスピーカーやスマート家電といったIoT機器にも使われています。米国のセキュリティ会社Armis Labsが、Bluetoothに「BlueBorne」と呼ばれる、8つの脆弱性が潜んでいることを発表しました。BlueBorneの特長は、接続先デバイスとペアリング、また検出可能な設定にしていなくても、Bluetoothをオンにしているだけで攻撃が可能という点にあります。現在、攻撃に対処するための更新プログラムが各種OSやIoT機器メーカーで公開されており、アップデートによるセキュリティ対策が求められています。どのようなセキュリティ対策が必要か IoT機器を狙ったサイバー攻撃が多発するなかで、どのようなセキュリティ対策をとる必要があるのでしょうか。先にも挙げた「IoT セキュリティガイドライン ver 1.0」では、IoT機器の開発からサービス提供までの流れを、方針、分析、設計、構築・接続、運用・保守の5つの段階に分けたうえで、それぞれの段階におけるセキュリティ対策を示しています。引用：IoT セキュリティガイドライン ver 1.0／IoT推進コンソーシアム総務省経済産業省 IoTはリスクが多様化し、時に企業の存続にまで影響を及ぼす可能性があります。そのため、IoT機器やシステム開発会社のみならず、利用する企業もIoTセキュリティ対策の必要性を理解し、推進することが大切です。 IoTシステムのセキュリティ対策の進め方 IoT機器を利用している場合、どのようにセキュリティ対策を進めていけばよいのでしょうか。ここでは3つのステップに分けて、対策の手順を解説します。管理しているIoT機器の棚卸しまずは自社で管理しているIoT機器の棚卸しを行います。棚卸しを行い、管理する機器を再確認することで、リスクの洗い出しや対策の検討がしやすくなります。棚卸しが正しく行われないと、対策漏れが発生し、リスクを放置することになりかねません。注意が必要です。通信経路の把握棚卸しが終わったら、それらのIoT機器がどのような通信経路で他のシステムとつながっているかを把握します。外部ネットワークに接続する必要のない機器が接続されていたり、不要となったIoT機器が接続され続けていた、という状態は非常に危険です。IoT機器の通信経路を把握することで、危険な状態を未然に防ぎ、リスク低減につながります。想定されるリスクの洗い出しと対策目標設定通信経路の把握まで完了したら、想定されるリスクを洗い出したうえで、対策を立てていきます。IoT機器自身が持つデータとネットワークを介してアクセスできる資産には何があるのか。それらが通信経路を介して改ざん・漏えいしたり、機器が乗っ取られるリスクはどの程度か。リスクが顕在化した際の影響度合いは。リスクと影響度が洗い出せたら、対策の優先度や対策目標を設定し、それぞれの機器のセキュリティ対策を具体的に進めていきます。まとめ本コラムでは、IoTの用語解説、セキュリティ対策が求められる理由、サイバー攻撃の事例、セキュリティ対策の進め方などをまとめました。 IoTはリスクが多様化し、時に企業の存続にまで影響を及ぼす可能性があります。他社の先進事例や外部人材の知見を取り入れながら、サイバー攻撃から企業を守るための対策をしていきましょう。

IoTセキュリティ対策の重要性と被害に遭わないための対策方法

——いま使っているそのIoT機器、セキュリティリスクに晒されていませんか？—— 近年、急速に実用化が進むIoT（Internet of Things）は「モノのインターネット」と訳され、あらゆるモノがインターネットに接続できるようになる技術を指します。IoTはスマート家電や自動運転車といった製品のほか、製造業であれば遠隔で機械を制御できるようになるなど、ビジネスの場でも活用が広がっています。 IoT導入によって生活や仕事が便利になる一方、セキュリティリスクを孕んでいることをご存知でしょうか。今回はIoTセキュリティ対策の重要性について解説していきます。代表的な対策法もお伝えしていきますので、「リスクがあるなんて知らなかった」「リスクは理解しているけれど対策がとれていない」という方はぜひ参考にしてください。 _ IoT導入時にもセキュリティ対策は必要 IoTに対するユーザー側のセキュリティ意識はまだ低いと言われていますが、しかしパソコンなどと同様にIoT機器・システムを使用する際にもセキュリティ対策は欠かせません。 IoTはたびたび脆弱性が指摘され、サイバー攻撃などの標的になっています。脆弱と言われる背景には、IoTは性能が限定的なため強固なセキュリティの仕組みを搭載するリソースがないこと、また、なかには自動車などライフサイクルが長い機器もあり、購入時点で適用されていたセキュリティ対策が時間の経過と共に不十分になることなどが挙げられます。 IoTのセキュリティについては2016年7月に総務省・経済産業省が「IoTセキュリティガイドラインver 1.0」を公表し、IoTの性質とリスクを考慮したセキュリティ対策を促しました。また2020年4月には総務省が「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令（平成31年総務省令第12号）」を公布し、IoT機器の製造業者に対し、セキュリティ対策機能の実装を義務化させました。しかし2020年12月に総務省サイバーセキュリティタスクフォース事務局が公表した「サイバー攻撃の最近の動向等について」では、「IoT機器を狙った攻撃は依然として多い」と伝えており、セキュリティ対策がまだ不十分であることが分かりました。IoT機器の製造業者の対応はもちろん、ユーザー側もセキュリティに意識を向け、リスクに備えていかなければなりません。参照：「IoT セキュリティガイドラインver 1.0」（総務省・経済産業省）参照：「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令（平成31年総務省令第12号）」（総務省）参照・出典：「サイバー攻撃の最近の動向等について」（総務省サイバーセキュリティタスクフォース事務局） IoT導入に伴うリスクではもしセキュリティ対策を怠った場合、どのようなリスクあるのでしょうか。リスクを知ることでセキュリティ対策の必要性・重要性をさらに学んでいきましょう。サイバー攻撃に遭うサイバー攻撃とは、ネットワークを通じてシステムを破壊したり改ざんなどを行ったりすることです。たとえば企業のIoTシステムが破壊されれば業務が停止し、企業に機会損失などが起きるリスクがあります。最近のサイバー攻撃は攻撃の足跡を残さないテクニックが身につき、加害者が特定しにくくなっていることも問題です。情報が窃取される IoT機器が乗っ取られ、情報が窃取される可能性もあります。たとえば防犯カメラが乗っ取られれば、社内の様子がインターネット上に晒されたり、機密情報が漏洩したりするリスクがあります。顧客情報など個人情報が流出すれば、賠償責任を問われるかもしれません。踏み台攻撃に利用される踏み台攻撃とは、攻撃者が第三者のパソコンなどを乗っ取り攻撃に使用することを言います。踏み台攻撃に利用されれば、知らないうちにスパムメールの送信元になったり、不正アクセスの中継地点になったりしてしまうかもしれません。本来乗っ取られた側は被害者です。しかし知らないうちとはいえサイバー攻撃などに加担することで攻撃者と疑われ、社会的信頼を失うリスクがあります。実際にあった攻撃の事例次に、実際にあった攻撃事例を見ていきます。マルウェア「Mirai」による攻撃マルウェアとはコンピュータウイルスをはじめ、悪意のある不正プログラム・ソフトウェアの総称です。「Mirai」はIoTの脆弱性を狙って攻撃し、不正ブログラムをダウンロードさせることで遠隔操作を可能にします。Miraiは“感染力”を持つのが特徴で、感染した機器同士を連携させ、一つの攻撃対象に一斉攻撃できる体制をつくります。実際アメリカで、Miraiに感染した機器を踏み台にした大規模攻撃があり、大手SNSや動画配信サイトがアクセス不能になる事件がありました。遠隔操作による犯罪予告事件日本で、他者のPCを遠隔操作し犯罪予告が行われる事件が起きました。自治体のホームページに犯罪予告をしたことで威力業務妨害罪としてAさんが逮捕されましたが、後の捜査でAさんは犯人ではないことが判明。真実はAさんのパソコンがコンピュータウイルスに感染しており、真犯人がAさんのパソコンを遠隔操作し犯罪予告の書き込みを行っていたというものでした。参照：「国民のための情報セキュリティサイト事故・被害の事例事例10：自分の名前で勝手に書き込みが…」（総務省）参照：「安心してインターネットを使うために国民のための情報セキュリティサイト」（総務省）保育カメラの乗っ取り防犯、子どもやペットの見守りなどでの利用が増えているネットワークカメラ。インターネットに接続できるため、こちらも乗っ取りのリスクがあります。アメリカで保育用のネットワークカメラが相次いで乗っ取られ、何者かが子どもに話しかけたり、罵声を浴びせたりするといった事件がありました。ネットワークカメラは家庭用だけでなく、企業でも監視・防犯目的で使用することも多いため、注意が必要です。被害に遭わないためのセキュリティ対策マルウェアの新亜種が発見されるなどリスクは常に隣り合わせ。セキュリティ対策の重要性が高まるなか、被害に遭わないためにはどのような対策を行えば良いのでしょうか。対策を知り正しく備えていきましょう。 IoT機器・システムの棚卸しまずは企業や自宅で管理しているIoT機器・システムの棚卸しをするところからはじめましょう。棚卸しを行うことで現状が把握でき、どのような対策が必要なのかを考えやすくなるメリットがあります。棚卸しの際には、IoT機器がどのネットワークを介してシステムに接続しているのかといった通信経路も併せて確認します。機器の通信経路を確認することで「必要がないのにネットワークに接続していた」といった機器が見つかるかもしれません。具体的な対策 IoT機器・システムは多様化しているため対策もそれぞれ異なります。ここでは代表的なものをいくつかご紹介します。初期設定パスワードの変更 IoT機器では一番簡単な対策であるものの、対応していないケースはまだ多く見受けられます。先述した「Mirai」も、パスワードが初期設定のままだったことが原因で感染したケースもあるようです。辞書に載っている単語や人名などを組み合わせたパスワードは「辞書攻撃」によって見破られてしまうため、複雑で破られにくいパスワードを設定しましょう。ファームウェアのアップデートファームウェアとはパソコンや電子機器に内蔵されている、機器を動作させる役割を持つソフトウェアのことです。どのようなIoT機器であっても脆弱性が潜む可能性があるため、常に新しいファームウェアにアップデートしておきましょう。なかにはマルウェアが仕込まれ改ざんされたものもあるため、ファームウェアは正規のサイトから手に入れることが大切です。ポート管理ポートとはネットワークとパソコンをつなぐ出入り口のようなものです。ポートにはそれぞれ番号があり（ポート番号）、通信を行う際はIPアドレスと共に使用されます。近年、IoT機器の操作用に使用される23番ポート(telnet)への攻撃が増えてきました。先述したファームウェアのアップデートのほか、不要な開放ポートを放置しないといった管理が必要です。まとめスマート家電や自動運転車といった身近なものから、製造業や医療業界などビジネスの場でも実用化が進むIoT。生活や仕事が便利になる一方、モノがインターネットに接続されることでサイバー攻撃をはじめとしたリスクと隣り合わせになることを、私たちは理解しておくべきです。セキュリティ対策を怠った先で待ち受けているのは、システムが破壊され業務が停止したり、顧客情報が窃取され社会的信用を失ったりといった、事業継続を揺るがしかねない大きな不利益かもしれません。しかしリスクを知ることで、正しく対策ができるのも事実です。企業にお勤めの方であれば、仕事で使っているIoT機器を確認し、パスワードの変更やファームウェアのアップデートがきちんと行われているかを確認するところからはじめてみてはいかがでしょうか。同じチーム・部署の方々と、IoTセキュリティについて話し合ってみるのも良いかもしれません。安心してIoT機器・システムを活用するために、セキュリティ対策を進めていきましょう。