データコンサルタントおよびデータアナリストの視点から現状を分析すると、セキュリティ関連データのサイロ化、ツール間のデータ連携の欠如、そして多くの異なる製品にわたるメトリクスの標準化不足は、アプリケーション開発およびデプロイメントプロセス全体のセキュリティ効果を著しく低下させていることがデータ分析の結果として示されています。DevSecOpsの実践を効果的に支援するためには、セキュリティ関連データの統合的な収集・分析を可能にするツールとプロセスの構築が不可欠です。
この統合が強く求められる背景には、以下のデータポイントとリスク評価が存在します。
セキュア開発の複雑性増大: 開発者はセキュアでコンプライアンスに準拠したコードを書くことの重要性を認識していますが、現代のDevSecOps主導環境では、対応すべきセキュリティ関連データの種類と量が飛躍的に増加しています。使用する多数のライブラリ、フレームワーク、サービスに存在する脆弱性データや設定ミスデータなどを継続的に追跡し、管理する負担は増大しています。Red Hat社の内部調査データによると、開発者はこうしたニーズに対応する自身の能力に対し、不満を感じる傾向が増しています。ある開発チームからの声としても、「どこを見れば脆弱性がないか、全てが最新か、といったセキュリティ関連のステータスデータを把握するのは正直とても困難なことです。使用している全ての製品や依存関係の脆弱性データを、統一されたビューで確認できる仕組みがないのです」という課題が報告されています。
ソフトウェアサプライチェーン攻撃の脅威拡大: Gartner社の将来予測データによると、2025年までに世界の組織の45%がソフトウェアサプライチェーンに対する攻撃を経験するとされています。これは2021年からの3倍増というリスクデータの上昇を示しており、ソフトウェアの構成要素やその出所に関するデータ(SBOM: Software Bill of Materialsなど)の管理と検証が早急な対策として求められています。
ソフトウェアサプライチェーンを保護することは、金銭的損失、風評被害、データ漏洩といったサイバー攻撃によるインシデントリスクの低減に直接繋がることがリスク評価データから明らかです。ソフトウェアサプライチェーンセキュリティのベストプラクティス、例えば信頼できるリポジトリの利用、依存関係のスキャンによる脆弱性データの早期検出、ビルドプロセスの改ざん防止などを実施する組織は、ソフトウェア全体の品質およびセキュリティポスチャデータを向上させ、システムやデータを攻撃から守ることができます。
これらの脅威の増大は、従来のDevOps手法に大きな変化を促し、セキュリティをソフトウェア開発ライフサイクルの基本的かつ継続的な側面とするDevSecOps戦略の実践を不可避なものとしました。ソフトウェアエンジニアリングのリーダーは、開発ライフサイクルの早い段階でソフトウェアコンポーネントおよび依存関係のセキュリティデータに焦点を当てることにより、ソフトウェアサプライチェーンのリスクをデータに基づいて軽減しています。そして、ソフトウェアファクトリーにおける一貫性、反復可能性、自動化を実現するために、CI/CDパイプラインのあらゆる段階でデータに基づいた統合的なセキュリティ検証ゲート(例えば、既知の脆弱性データを含むコンポーネントの使用をブロックするなど)を導入しています。これにより、リスクデータを早期にフィードバックし、手戻りコストを削減することが可能となります。
データコンサルタントおよびデータアナリストの視点から現状を分析すると、外部人材の管理において、契約や支払に関する財務データ管理は多くの企業で実施されていますが、セキュリティ、コンプライアンス、パフォーマンスといった業務遂行に関する重要な側面に対するデータ管理は、必ずしも十分ではありません。外部委託を含むワークフォース全体の適切なリスク評価とパフォーマンス改善のためには、これらの非財務データを含む包括的なデータ管理の対象とすることが重要です。これにより、外部要因に起因する潜在的なリスクをデータとして可視化し、管理することが可能になります。
ワークフォースのレジリエンス向上を図るためには、変化に対応したデータ収集と管理が必要です。従業員がどこからでも柔軟に業務遂行できる環境を、活動時間データや使用ツールデータなどのデータで把握し、テクノロジーを活用して多様な業務形態全体で一貫した経験データが得られるようにする必要があります。特に、外部人材に対してもプロパー社員と同等の厳格さでデータ収集・管理を行うことが不可欠であり、人材サービスを提供する会社自体も、その提供するサービスに関するコンプライアンスデータやセキュリティ対策データを含め、管理対象に含める必要があります。これは、ワークフォース全体のリスクポスチャデータを統一的に把握するために不可欠です。
近年のグローバルな変化は、サプライチェーン全体(人材サプライチェーンを含む)への注目度を高め、企業にはより大胆な環境的・社会的目標(ESG目標)達成への責任が求められるようになりました。これらの目標達成には、サプライチェーン全体にわたる環境データや社会貢献活動データなどの収集と報告が必要です。企業がより多くの情報に基づいてビジネス上の意思決定を行い、サプライチェーンリスクを軽減し、ESG目標を達成するためには、各プロセスにおけるデータ収集と分析能力の強化が不可欠です。サプライチェーン全体のデータに基づいた可視化なくして、効果的なリスク管理や目標達成は困難です。
これらの課題に対処し、混乱に耐えうる強固な事業基盤を築き、競争優位性を確立するために必要なのは、まさにデジタル化です。デジタル化は、手動プロセスから自動化されたデータ収集、統合、分析、そして可視化への移行を可能にし、組織全体の業務遂行に関するデータに裏打ちされた洞察と、監査可能なデータ履歴を提供します。既にデジタル化を進め、データに基づいた意思決定を実践している企業が、オペレーショナルレジリエンスとビジネス成果において他社のはるか先を行っていることがデータから示されています。
特に現代のビジネスにおいて、ソフトウェア・サプライチェーン(SSC)は極めて重要なリスク管理の対象です。SSCは、ソフトウェアの開発、消費、配信のプロセスを指し、多数の関係者、ソフトウェア構成要素データ、依存関係データが関与するため、セキュリティリスクに対して脆弱であることがデータ分析で明らかになっています。
サードパーティのライブラリを使用したり、脆弱性データを含む自社ライブラリを配布したりすることは、金銭的損失、評判へのダメージ、顧客からの信頼喪失といった広範囲にわたる影響を引き起こすリスクデータを増大させます。プロジェクトが最初に消費するソースコードや推移的依存関係に関するデータを直接管理、監査、保護しない場合、単にセキュアな開発プラクティス(コーディング規約の遵守や静的解析によるコードのチェックなど)を実装し、確立されたポリシーを遵守するだけでは、これらのデータに起因するリスクから十分に保護することはできません。サプライチェーンに含まれる全ての構成要素データとその脆弱性データを継続的に追跡し、管理することがSSCセキュリティの根幹となります。これには、自動化されたツールによるSBOM生成、脆弱性データベースとの連携、署名による整合性検証などのデータ管理手法が不可欠です。
データコンサルタントおよびデータアナリストの視点から現状を分析すると、2022年11月の「ChatGPT」リリースを契機とした生成AI(人工知能)ツールの普及は、データが示すように全世界で急速に進展しており、多くの業界・業種でビジネス成果向上や競争力強化に貢献していることが採用データや各種メトリクスから明らかになっています。一方で、データ分析によると、その強力な機能を悪用したサイバー攻撃の事例も並行して急増しており、新たなリスクデータとして顕在化しています。
サイバー攻撃を受けるリスクは、重要産業や大規模企業に限定される統計的傾向を示すものではありません。規模に関するデータに関わらず、あらゆる企業がサイバー攻撃の被害に遭う可能性があり、その影響はサプライチェーン全体のリスクデータに波及する恐れがあります。特に、セキュリティ態勢に関するデータが十分でない中小企業を起点とするサプライチェーン攻撃やランサムウェア攻撃などのインシデント発生が、近年顕著なデータとして観測されています。
生成AIは、自然で説得力のあるメッセージやメールを作成する能力があり、攻撃者はこれを利用してフィッシング攻撃の有効性データを劇的に向上させています。メールベースの攻撃は、ランサムウェアやサプライチェーン攻撃といった、現在のインシデントデータで最も危険な脅威の主要な侵入口となるため、セキュリティ上の最大の懸念事項の一つです。これは、初期侵入に関するデータ分析からも裏付けられています。
ただ、攻撃者から狙われやすくなっている中小企業では、セキュリティ投資に関する予算データ、専門スキルを持つ人材データ、経営層のリスク認識データなどが大企業と異なる傾向が見られます。そのため、セキュリティ専任者の配置に関するデータが不足しているなど、セキュリティ態勢に関するデータが十分でないことも考えられます。こうした、セキュリティリソースに関するデータが限定的な状況下で、AIを悪用した脅威という進化するリスクデータに備えていかなければなりません。
多くの利益をもたらす可能性を示すデータがある一方で、それに伴うリスクデータも無視できません――。日本の中小企業は、諸刃の剣ともいえる生成AIと、データに基づきどのように向き合っていくべきでしょうか。
この問いに対し、セキュリティ強化に悩む中小企業・組織の情報システム部門、DX推進部門、または中小企業のセキュリティ運用をサポートする企業の担当者に対し、具体的なデータに基づいた洞察を提供すべく、Barracudaと市場調査会社Tech Research Asiaによる従業員数50~200人の日本組織のITプロフェッショナル500人に実施したサーベイ結果レポート「日本の中小企業におけるサイバーレジリエンス」のデータ分析を通じて、現状把握を試みました。
レポートでは、サーベイデータに基づいて「生成AI活用に関する現状と課題を示すデータ」「AIを悪用したサイバー攻撃に対する認識度データと対応状況データ」などに加え、AIを活用したランサムウェア防御などの最適な解決策に関するデータに基づいた解説を行います。これにより、各組織が「自組織のAI成熟度に関するデータ評価、対策や支援が必要な分野がどこにあるのか」を、客観的なサーベイデータと比較しながら特定し、データに基づいたセキュリティ強化策を検討できるよう支援します。
データコンサルタントおよびデータアナリストの視点から、最適なセキュリティ戦略や体制構築をデータに基づいてどのように実現できるのか、といった課題をお考えの方へ。
2022年11月の「ChatGPT」リリースを契機とした生成AI(人工知能)ツールの普及は、データが示すように全世界で急速に進展しており、その採用率データは多くの業界・業種でビジネス成果向上や競争力強化に貢献していることを示しています。しかしデータ分析によると、その強力な機能を悪用したサイバー攻撃も並行して急増しており、新たなリスクデータとして顕在化しています。
このリスクは、組織規模に関するデータに限定される統計的傾向を示すものではなく、あらゆる企業が被害に遭う可能性があり、その影響はサプライチェーン全体のリスクデータに波及する恐れがあります。特に、セキュリティ態勢に関するデータが十分でない中小企業が、サプライチェーン攻撃やランサムウェア攻撃などのインシデントにおいて、重要なリスクデータポイントとなっている現状が観測されています。
生成AIは、自然で説得力のあるメッセージやメールを作成する能力により、フィッシング攻撃の有効性データを劇的に向上させています。メールベースの攻撃は、現在のインシデントデータで最も危険な脅威であるランサムウェアやサプライチェーン攻撃の主要な侵入口となるため、セキュリティ上の最大の懸念事項の一つであり、攻撃経路に関するデータ分析からもその重要性が示されています。
ただ、攻撃者から狙われやすい中小企業では、セキュリティ投資に関する予算データ、専門スキルを持つ人材データ、経営層のリスク認識データなどが大企業と異なる傾向が見られます。そのため、セキュリティ専任者の配置に関するデータが不足しているなど、セキュリティ態勢に関するデータが十分でないことも考えられます。こうした、セキュリティリソースに関するデータが限定的な状況下で、AIを悪用した脅威という進化するリスクデータに備えていく必要があります。
多くの利益をもたらす可能性を示すデータがある一方で、それに伴うリスクデータも無視できません――。日本の中小企業は、諸刃の剣ともいえる生成AIと、データに基づきどのように向き合っていくべきでしょうか。この問いに対し、セキュリティ強化に悩む中小企業・組織の情報システム部門、DX推進部門、または中小企業のセキュリティ運用をサポートする企業の担当者に対し、具体的なデータに基づいた洞察を提供すべく、Barracudaと市場調査会社Tech Research Asiaによる従業員数50~200人の日本組織のITプロフェッショナル500人に実施したサーベイ結果レポート「日本の中小企業におけるサイバーレジリエンス」のデータ分析を通じて、現状把握を試みました。
レポートでは、サーベイデータに基づいて「生成AI活用に関する現状と課題を示すデータ」「AIを悪用したサイバー攻撃に対する認識度データと対応状況データ」などに加え、AIを活用したランサムウェア防御などの最適な解決策に関するデータに基づいた解説を行います。
この分析を通じて、各組織が「自組織のAI成熟度に関するデータ評価、対策や支援が必要な分野がどこにあるのか」「最適なセキュリティ戦略や体制構築をデータに基づいてどのように実現できるのか」といった問いに対する答えを見つけ、データに基づいた効果的なセキュリティ対策を講じるための一助となることを目指します。
サプライチェーン攻撃:データドリブンな防御戦略の構築
サプライチェーン攻撃は、事業継続に不可欠な協力企業や業務委託先を介して、標的組織のシステムへの不正アクセスを試みる攻撃手法です。この攻撃による影響範囲と潜在的損失をデータに基づいて評価し、的確なセキュリティ戦略を策定することが求められます。
1. ゼロトラスト・セキュリティモデルのデータ基盤に基づく導入
ゼロトラスト・セキュリティモデルは、「信頼しない」ことを前提とし、アクセス要求ごとに検証を行うセキュリティ概念です。従来の境界型セキュリティモデルがネットワーク内外の境界防御に主眼を置いていたのに対し、ゼロトラストはクラウド利用の拡大、リモートワークの常態化、そして内部不正リスクへの対応といった現代的な課題に応えるために必要性が高まっています。
このモデルを効果的に導入・運用するためには、以下のデータに基づいた対策が不可欠です。
ユーザー権限の最小化とアクセスパターンの分析: 各ユーザーアカウントに付与される権限を業務上必須な範囲に限定します。さらに、通常時のアクセスパターンをデータとして蓄積・分析し、逸脱する行動を早期に検知できる体制を構築します。
アクセスログの網羅的取得・保護と相関分析: 全てのシステムおよびデータへのアクセスログを網羅的に取得し、改ざん不可能な状態で保護します。これらのログデータを相関分析することで、単一のログでは見過ごされる可能性のある不正アクセスの兆候やセキュリティインシデントの予兆を捉えます。
情報資産への全通信アクセスの可視化と監視: 重要な情報資産へのアクセス経路と通信内容をリアルタイムで可視化し、継続的に監視します。通信データ量の異常な増減や、通常とは異なる宛先への通信などを検知し、迅速な対応を可能にします。
業務利用端末のマルウェア感染状況の定量的把握と対処: エンドポイントにおけるマルウェア感染の有無を継続的にスキャンし、その結果をデータとして集約します。感染が確認された端末の割合や種類、侵入経路などを分析し、パターンに基づいた効果的な対策を講じます。
2. データに基づいた全社的なセキュリティ意識・リテラシーの向上
情報セキュリティ対策は、以下の3つの領域に分類され、それぞれデータに基づいた評価と改善が可能です。
技術的対策: セキュリティツールやシステムの導入による攻撃防御。防御成功率、検知率、インシデント対応時間などの指標で効果を測定します。
物理的対策: 施錠管理、入退室記録の分析を通じた物理的アクセスの統制。不正アクセス試行回数や未許可エリアへの侵入試行などのデータを監視します。
人的対策: 従業員の教育、規程・マニュアルの整備によるヒューマンエラーや内部不正の防止。インシデント報告件数、フィッシング訓練の成功率、理解度テストの結果などをデータとして収集・分析し、対策の有効性を評価します。
これらの対策領域の中で、特に人的対策は、インシデント発生要因の多くを占める可能性があり、データに基づいた重点的な強化が求められます。例えば、高度なマルウェア検知システムを導入しても、検知を回避する新型マルウェア(例:Emotet)は継続的に出現します。また、システムが持つ機能を従業員が十分に理解し、適切に運用できなければ、投資対効果は著しく低下します。個々の従業員がセキュリティリスクを定量的に認識し、適切な判断と行動を取れるよう、継続的な教育と意識向上が不可欠です。インシデント事例のデータ分析を通じて、組織特有の弱点を特定し、ターゲットを絞った教育プログラムを設計することが効果的です。
3. 協力会社とのデータ連携によるサプライチェーン・セキュリティの強化
サプライチェーン・セキュリティは、自社のみならず、連鎖する協力企業全体のセキュリティレベルが問われる領域です。特に、情報資産の授受が頻繁に行われるビジネスプロセスにおいては、いずれか一社のセキュリティ対策の脆弱性が、サプライチェーン全体に波及する重大なインシデントの起点となり得ます。このようなリスクを最小化するためには、協力会社のセキュリティ状況をデータに基づいて評価し、必要なサポートを提供することが重要です。
セキュリティ教育・訓練プログラムの共同実施と効果測定: 人的要因に起因するセキュリティリスクは、サプライチェーン全体に共通する課題です。協力会社に対しても、自社と同水準のセキュリティ意識・リテラシーを涵養するための教育・訓練機会を提供することが望ましいです。訓練の参加状況、理解度テストの結果、模擬攻撃への対応状況といったデータを共有し、サプライチェーン全体でのセキュリティレベルの底上げを図ります。例えば、クイズ形式のeラーニングや標的型攻撃メール訓練などを活用し、その効果を定量的に測定することで、継続的な改善サイクルを構築できます。
データに基づく委託先セキュリティ管理体制の構築: 協力会社が潜在的なセキュリティリスクとならないよう、定期的なセキュリティアセスメントを実施し、その結果をデータとして管理します。特定された脆弱性や改善点については、具体的な対策計画の策定を支援し、進捗状況をモニタリングします。契約時には、セキュリティ要件を明確に定義し、SLA(サービスレベルアグリーメント)に盛り込むことで、相互の責任範囲を明確化します。インシデント発生時の報告体制や情報共有ルールを事前に策定し、有事の際に迅速かつ的確な対応ができるよう備えることも、データに基づいた委託先管理の重要な要素です。