企業のデジタル変革とサイバーリスク

企業のデジタル変⾰と
サイバーリスク
• 事業のデジタル変⾰と経営への影響
• 企業のデジタル変⾰へのシナリオ
• セキュリティ・リスク対応の鍵
岡⽥良太郎
1

PSIRT実現・⽀援
• ケーススタディから学べるこ
とが多い
• asteriskresearch.com
2

⽶国国防総省
COVID-19
テレワークセキュ
リティガイド
• Copy, Paste, and Customize で
迅速に実現
4

リモートワーク適応レベル
0. 検討外
• エッセンシャル・ワーカー
• 医療従事者、ライフライン、⽣活
インフラ、⾏政機関などの関連
• 業態上不可能な産業
1. 例外扱いレベル
• 仕事=出社。
• テレワークは⾮常事態の妥協
であり緊急時のフォーメー
ション
2. 選択可能レベル
• ハイブリッド。つまりリモー
トワークでも出社でも選択可
能。
• 労務管理は従来型。組織、制
度は変更しない。
3. 変化対応レベル
• 管理は、信頼、⾃律、⾮同期、
⾃⼰管理を前提として、変化
に対応する。
• 制度は変化によって前進
6

プレッシャーのかかる経営環境
ビフォーコロナ
テクノロジー
IoT、AI、ビッグデータ、
API、RPA、MR/VR
コロナ禍
事業を取り巻く変化
• 通勤不可&テレワーク
• ソーシャルディスタンス
• オンライン売買加速
• インフォデミック
社会継続に関わる変化
• 緊急事態宣⾔
• 第⼆波
• 医療崩壊不安
• 莫⼤な経済損失予測
破壊者の台頭
GAFMA
顧客と会えない
稼働できない
資⾦が尽きる
雇⽤継続が厳しい
消費社会のデジタル化
オンラインショッピング、
ソーシャルネットワーク
経営者の
次の打ち⼿は...
8

DXは、消費者サイドでは⾃然に進んだ。しかし、企業、社会システム
では、重い腰・及び腰で遅々として進まなかった。利⽤するサイド、
顧客思考を突き詰めれば、企業は次の打ち⼿が⾒えるはずである。
消費者向けサービス
• D2C・デリバリー
• サブスク
労働環境
• リモートワーク
• 分散型・ジョブ型
出張・観光
• バーチャルツアー
• SNS・動画共有情報
アパレル
• お出かけ消費壊滅
• 使い⼼地最優先
コミュニケーション
• デジタル・ツール
• オンライン会議
医療・ヘルスケア
• 遠隔診断・遠隔診療
• 電⼦カルテ連携
セールスプロモーション
• デジタル・ツール
• SFA
業務推進
• プロセス変更
• 電⼦契約
教育・訓練
• オンライン教育
• ⾮同期・余裕時間
組織
• フラットへの再設計
• 中間管理職不要
ファイナンス
• ネット融資
• キャッシュレス
企業連携
• 専⾨サービス
• クラウドソーシング
9

経営のデジタル化に効くサービス。コロナ禍でも新しいアイデアが
どんどんサービス化されており、採⽤企業数も伸ばしている。
区分会社名サービス名内容
業務システム基盤サイボウズ Kintone プログラミング不要で業務フローを構築でき、パソコンからもスマホからも使える
AI解析 Revcomm MiiTel AIによる顧客と従業員の会話の⾃動解析サービス
営業⽀援レッドフォックス cyzen（サイゼン）営業、メンテナンスなどフィールドワーカーの⾏動管理、報告書作成サービス、など
インサイドセールスベルフェイスベルフェイスブラウザだけで、インストール不要、ネットワーク設定変更も不要な営業プレゼンツール
チャットボットカラクリ KARAKURI AIによる正答率95%以上のカスタマーサポート
コスト削減アイキューブ COSTON ⽇本最多クラスの約1,000費⽬のコストを全世界で削減するコスト削減サービス
勤怠管理 Donuts ジョブカン労基法対応の格安勤怠管理、経費管理、採⽤管理システム
広報PR ネタもとネタもと広報PR担当を内製化まで出来てしまうPRエージェンシー
電⼦署名弁護⼠ドットコムクラウドサイン「紙と印鑑」を「クラウド」に。契約作業をパソコンだけで完結させるサービス。
評価制度あしたのチームあしたのクラウド 2,000社以上に導⼊されたリモートワーク時の評価制度構築サービス
名刺 Sansan ３３（オンライン名刺）デジタル名刺を作成、名刺送付⽤のURLを発⾏し、チャットやメールなどで交換
DX支援神⼾デジタル・ラボオンライン・コンサルデジタル変⾰の相談をいち早く、フル・オンラインでヒアリング・アドバイス・実施⽀援を開始
他にも続々と誕⽣し、評価を伸ばしている
10

デジタルはアナログからの解放
アナログ
地域密着
店舗・オフィス
業界縦割り
集客・営業
セールスが⽬的
オリジナルのものづくり
パートナーとお得意様ありき
囲い込み
⼿続き
デジタル
ボーダーレス
サイト・ページ
業界混在
集客・営業はプラットフォームで
カスタマーサクセス
シナジーのあるものづくり
サプライチェーンの多様化
共有
⾃動化
11

セキュリティリスクの変化
Monolithic Design(密結合)時代
WEB
アカウント
テーブル
在庫テーブル
出荷テーブル
Mobile
App
Browser
REST
冗長構成
重大な脆弱性：
SQLi、XSS、 CSRF、ディレクトリートラバーサル、コー
ドインジェクション
イネーブラ：
Linux/OSSなどオープンアーキテクチャの構築手段の普及
コンシューマのEC、SNSの流行
攻撃面：
デバイス、ブラウザ、サービスの入口
12

REST
REST
REST
REST
WEB
アカウント
在庫
出荷
・・・・
APIゲートウェイ
ウェブサイト
Mobile
App
Browser
アカウントサービス
在庫管理サービス
出荷管理サービス
・・・・
重大な脆弱性：
XXE、SSRF、コードインジェクション、
モニタリング不足
イネーブラ：
仮想化技術、クラウド、サーバレスの普及
アカウント連携、IoT、サービス間データ連携の適用範囲拡大
セキュリティリスクの変化
Microservices(疎結合) 時代
攻撃面：
全APIの入口、インスタンス
攻撃面：
デバイス、ブラウザ、サービスの入口
13

IdP
認証基盤
・・・・
Mobile
App
Browser
・・・・
イネーブラ：
SaaS, IaaS, API, WebHook…セキュリティリスクの変化
DX時代
メール配信
サービス
ストレージ
サービス
No code/Low code
サービス
決済代行
サービス
SaaS
オンライン会議
サービス
コミュニケーション
チャットサービス
WebHookApp+API
センサー
UI
14

サイバー犯罪は経済的利益⽬的。
「企業が事業継続(可⽤性)をできなくなる不安」を換⾦する
個⼈順位組織
スマホ決済の不正利⽤ 1 標的型攻撃による機密情報の窃取
フィッシングによる個⼈情報の詐取 2 内部不正による情報漏えい
クレジットカード情報の不正利⽤ 3 ビジネスメール詐欺による⾦銭被害
インターネットバンキングの不正利⽤ 4 サプライチェーンの弱点を悪⽤した攻撃
メールやSMS等を使った脅迫・詐欺による⾦銭要求 5 ランサムウェアによる被害
不正アプリによるスマートフォン利⽤者への被害 6 予期せぬIT基盤の障害に伴う業務停⽌
ネット上の誹謗・中傷・デマ 7 不注意による情報漏えい（規則は遵守）
インターネット上のサービスへの不正ログイン 8 インターネット上のサービスからの個⼈情報の窃取
偽警告によるインターネット詐欺 9 IoT機器の不正利⽤
インターネット上のサービスからの個⼈情報の窃取 10 サービス妨害攻撃によるサービスの停⽌
情報セキュリティ10⼤脅威 2020 (情報処理推進機構発表)15

企業のITシステムへの侵害経路は多い。
ITシステム
営業・サポート
サプライ
チェイン
プロモーション
ユーザサービス
提供サービス・
プロダクト
システムユーザ
(従業員)
運⽤
コロナ情報サイトのハッキング
フィッシングサイト
BEC詐欺メール、なりすまし
ソーシャルハッキング
バックドア・不正アクセス
ソフトウェア脆弱性、バグ
利⽤状況把握、運⽤管理、
構成管理のミスからだだ漏れ
メーラ、ブラウザ、スマホ
SMSを利⽤した誘導・情報窃取

個⼈情報
ファイアウォール
保管場所
ネットワーク
平成以前のセキュリティ
17

原因1: アップデートやモニター不⾜：ほったらかし
放置されたシステムが、ランサムウェアを呼び込む
個⼈順位組織
メールやSMS等を使った脅迫・詐欺による⾦銭要求 5
ランサムウェアによる被害
情報セキュリティ10⼤脅威 2020 (情報処理推進機構発表)
「⽇本企業ランサムウェア被害相次ぐ」
ホンダ (2020/6)
社内のサーバーにアクセスできなくなり、電⼦メールの利⽤にも
障害。原因は既存の脆弱性が悪⽤された標的型攻撃。
VPNパスワード流出 (2020年8⽉)
「テレワーク⽤に急きょ稼働させた旧VPN
装置に放置された脆弱性」
(出典︓報道各社)
19

原因2: 認証情報管理の不備、パスワード使い回し
認証情報（クレデンシャル）の使い回し
個⼈順位組織
https://haveibeenpwned.com/
20

原因3: 思い込み：うっかり、すっかり
⼼理的な問題、⼈の思い込みを突く問題
個⼈順位組織
ＪＡＬ３．８億円詐欺被害
ビジネスメールに割り込み偽請求 (2017/12)
（１）旅客機リース料約３．６億円被害
（２）地上業務委託料約２４００万円被害 (出典︓読売新聞 2018/1)
IPA ビジネスメール詐欺 5つのタイプ
1. 取引先との請求書の偽装
例）取引のメールのさなかに割り込み、偽の請求書（振込先）
を送る
2. 経営者等へのなりすまし
例）経営者をかたり、偽の振り込み先に振り込ませる
3. 窃取メールアカウントの悪⽤
例）メールアカウントを乗っ取り、取引先に対して詐欺を⾏う
4. 社外の権威ある第三者へのなりすまし
例）社⻑から指⽰を受けた弁護⼠といった⼈物になりすまし、
振り込ませる
5. 詐欺の準備⾏為と思われる情報の詐取
例）経営層や⼈事部になりすまし、今後の詐欺に利⽤するた
め、従業員の情報を詐取する
21

データ
認証
⼈
連携
デジタル時代のセキュリティ
22

スピード
使いやすさ
社会変動対応
地理的制約から
の解放
時間的⾃由
経済合理性労働の⾃由化
フラット化した
市場
産官学・オール
オンライン運営
デジタル経営は、
先端の世界の競争︖
コロナ前
コロナの予測にかかわらず、
社会がデジタル化することは変わらない
ニューノーマルの常識
デジタル変⾰
待ったなし
23

IT MEDIA 「AI開発ミステリー〜そして誰も作らなかった〜」
丸投げでは実現不可能
24

トップ主導でDX推進組織に「デジタル化予算・権限」と
「変⾰のための使命」を与えて⾼速回転させる。
稼働の観察=モニタリング
・正常稼働・異常発⽣
・ユーザ⾏動
・脅威情報
・モニタ能⼒の限界
分析(アンバランスを⾒極める)
・顕在リスク、潜在リスクの特定
・防御、検知、対応、復旧のポート
フォリオの検証
優先順位と戦略的な対応の決定
・ビジネスと技術リソースの投⼊
・開発と運⽤の改善
実施
・ソフトウェアアップデート
・モニタリングの改善
・⾼速デプロイ
OODA
機会とリスクのモニタリング
しながら実践試⾏
⾃社ならではの戦略ドラフト
25

サイバーセキュリティには、⼿⽴ての改善サイクルと、
⼈材のネットワークが存在している強みがある。
アウトブレイク、そしてバイオセキュリティ・リスク。
我々はこのような事態を予期して備えてきた、とは言わない。
しかし、この状態で、仮にインターネットがなかったら、さらには、仮にサイバーセキュリティが
どこに手をつければ良いのかわからないほど、あてにならない状況であったら、どうだろうか。
我々は、どんな活動も継続するすべを持たなかっただろう。
社会のデジタルへの依存が深まっている。eコマースを駆使して暮らし、チャットで家族や友人との
絆を確かめ、テレワークにより事業を再構成しながらロックダウン生活をさえ支えた。
そしてこれまで避けられてきたライフクリティカルな用途でさえ、急激にデジタルで解決しはじ
めている。この流れは不可逆な変化をもたらしている。
我々の眼前に拡がるものがある。このような一足飛びにデジタルへの転換を進める、リアルな現場
と、そして、それを支援し衛るためのエコシステムが、すでにあるのだ
奈良先端科学技術大学
サイバーレジリエンス構成学
門林雄基教授
26

Hardening
Project
• 2020/11/13-14
• フルオンライン堅牢化競技
• 現在、出場者募集中！
27

「⾃助・共助・公助」に向けて
• デジタル前提の構造が占めている情勢で、社会がすでにデジタル化が進展していることを認
識すると、企業はその新領域において自社のポジションをどうすべきかが問われている。
• ITツールはすでにたいていっている。 AI、IoT、クラウド、ブロックチェーン、ロボット、
5Gなど道具の議論よりも先に、まずは事業の意思決定者主導で自社の提供価値、顧客価値、
社会価値をふまえた変革の姿をドラフトすべきである。先行企業の取り組みから、自社の変
革可能な部分をおさえる。
• それで、トップ主導のデジタル変革の試行チームにあわせて、業務のセキュリティリスクを
扱う体制の確保は、投資領域のトップマターである。
• 計画偏重の旧来の手段はうまくいかない。仮説検証をベースにしたスピーディに変化・アッ
プデートすることが事業機会とセキュリティ対策の両方に有効である。
28

企業のデジタル変革とサイバーリスク

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 企業のデジタル変革とサイバーリスク

Similar to 企業のデジタル変革とサイバーリスク (15)

More from Riotaro OKADA

More from Riotaro OKADA (12)

Recently uploaded

Recently uploaded (8)

企業のデジタル変革とサイバーリスク