企業・組織の投資と課題からみる、2021年サイバーセキュリティ動向の振り返りと2022年の予測

新型コロナウイルス感染症(COVID-19)の長期化により、2020年に続き2021年も多くの企業がITインフラやサイバーセキュリティの観点で対応に追われる1年となりました。海外ではロックダウンの影響により、国内では緊急事態宣言の影響により、テレワークや業務アプリケーションのクラウド移行、業務プロセスのデジタル化によって、場所に関係なく事業継続性をどう維持していくかが、多くの企業にとって継続して重要課題となりました。

このブログでは、企業・組織におけるITインフラやサイバーセキュリティに関する投資や施策、影響にフォーカスする形で、2021年を振り返り2022年に想定される動向を予測します。

企業・組織の投資と課題からみる2021年サイバーセキュリティ動向の振り返り

ステークホルダーに影響を与えるサイバーリスク

ランサムウェアに代表される深刻なサイバーリスクは、2021年も年間を通じて国内外で深刻な被害をもたらしました。国内では決算発表の延期、特別損失の計上、減収予測など、事業継続への影響だけでなく、収益や株主、株式市場へ影響を及ぼす被害が顕在化し、海外では燃料供給の停止、物流や公共交通の運行への影響など、社会経済活動や市民生活に影響を与えるインシデントが年間を通じて発生しました。ITインフラやシステムは単に利用するだけのものだった時代が、すでに終焉を迎えていることを象徴しています。

グローバル展開する国内企業の海外拠点や子会社も年間を通じて被害に直面し、ガバナンスや一貫性のあるセキュリティ施策の観点での課題が一層顕在化しました。テレワークやクラウドへの移行といったITインフラの変化も重なり、サイバーリスクがもたらす影響は被害組織にとどまらず、ステークホルダーへの影響といった二次的・三次的影響を一層考慮する必要が出ています。

各国政府も注目するゼロトラスト

サイバーリスクの深刻化を受けて、国内外では「ゼロトラスト」への関心が一層高まりました。米国では連邦政府機関によるゼロトラストへの移行が明記された「サイバーセキュリティ大統領令」が5月に発令され、9月には行政管理予算局(OMB)から「ゼロトラスト移行戦略案」、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)から「ゼロトラスト成熟度モデル」のパブリックコメント募集が行われるなど活発な動きがありました。

英国NCSCも「Zero trust architecture design principles」を7月に公開、10月にシンガポールサイバーセキュリティ庁(CSA)が公開した「The Singapore Cybersecurity Strategy 2021」ではゼロトラストの原則を反映した政府アーキテクチャへの移行が明記されています。国内でも金融庁から「ゼロトラストの現状調査と事例分析に関する調査報告書」が公開され、9月にNISCから公開された「サイバーセキュリティ2021」でも導入の検討が明記されています。

一部では単なるバズワードと解釈する動きもありますが、ゼロトラストは国内外問わず無視できないサイバーセキュリティ戦略になっています。国内外の企業による取り組みも始まっており、国内企業の約3割がゼロトラストを採用していることが当社の調べで分かっています。中でも、元々サイバーセキュリティを重要視している企業、そしてサイバーセキュリティをビジネスにとって重要な投資と位置付けている企業ほど、ゼロトラストの取り組みにも積極的な傾向があります。

インフラ・サイバーセキュリティ施策は二極化

COVID-19の影響を受けて、テレワークの環境整備やクラウド移行だけでなく、従来アナログだった業務プロセスのデジタル化、さらにはデジタルトランスフォーメーション(DX)の取り組みが、2020年に引き続き行われています。企業・組織として抱える課題や優先度、考え方によって、各施策に対する戦略や戦術は大きく異なっています。クラウド移行やデジタル化、DXのような施策においては、競争力や俊敏性の強化といった海外企業の動きと異なり、国内ではコスト削減や業務効率化が目的となる傾向があります。

インフラやサイバーセキュリティに関連した施策の観点で見ても、テレワークという目の前の課題解決のみに注力する個別最適のケースと、コロナ禍を1つの契機として短期的な課題の解決を含めインフラ全体を中長期的な視点で見直す全体最適のケースに二分されています。前者の場合、既存インフラの制限がビジネスニーズに応えることを妨げるといった問題も顕在化しています。インフラやサイバーセキュリティに関する施策を見ても、ビジネスとの関係性、経営層やビジネス部門とIT部門やセキュリティ部門との関係性が、方向性を大きく左右しています。

世界各地で進むデータ・プライバシー関連法規制の強化

国内でも個人情報の保護に関する法律等の一部を改正する法律の施行を2022年4月に控える中、海外ではデータ・プライバシーに関する法規制の強化の動きが2021年も継続しています。2021年にはブラジル、中国で個人情報保護法が施行され、米国ではバージニア州、カリフォルニア州、コロラド州でそれぞれデータ・プライバシーに関する法案が署名・可決されています。昨年予定だったタイの個人情報保護法施行は来年に再延期される一方で、デジタル時代に見合ったものにするべく、オーストラリアでもPrivacy Act 1988の見直しにむけたパブリックコメントの募集が始まっています。

2020年に一気に増加したEU一般データ保護規則(GDPR)による制裁件数は、2021年は11月末の時点で昨年を上回っています。技術的、組織的なセキュリティ対策が不十分であることが、制裁理由として2番目に多いことが分かっています。データ活用の成否が企業の成否を決めるとも言われている中で、個人データを利活用する企業、グローバル展開する企業においては、国内外の法規制の動向にも一層注視する必要があるうえ、説明責任の観点でもセキュリティ強化が一層重要な施策になると言えます。

企業・組織の投資や課題からみる2022年サイバーセキュリティ動向の予測

ビジネスプロセスに影響を与えるリスクの増加

様々な領域でビジネスプロセスのデジタル化が行われており、結果的に従来リスクが存在していなかったビジネスプロセスもサイバーリスクにさらされる危険性があります。特に、コロナ禍における短期間での導入の必要性から、ビジネス要件が重要視される一方でセキュリティ要件の優先度が下げられていることが考えられます。

販売時点管理や財務管理、決済プロセスなどビジネスプロセスを止めるセキュリティインシデントは2021年にすでに確認され、侵害されたMSP経由で顧客に被害が及ぶケースも顕在化しています。各ビジネスプロセスが止まることによるビジネスとステークホルダーへの影響のリスク評価と、止めないため、止まってしまった時のためのインシデント対応、災害復旧、事業継続の各計画の見直しが求められます。

「本気のゼロトラスト」と「ゼロトラスト疲れ」への二極化

民間企業を中心としたゼロトラストへの国内の関心は2021年にピークに達したと考えられ、2022年には採用の取り組みを継続したり新たに採用する企業と、ゼロトラスト自体や既存インフラの刷新が難しいといった様々な理由で、ゼロトラストに関しては採用を断念する企業で、方向性が一層明確に二極化するものと考えられます。

その一方で、公共の分野においては、ゼロトラストの評価・検討がこれから始まり、ゼロトラストの原則をインフラに組み込んでいくような動きが、2021年以降に加速することも予測できます。

多方面から発信されている情報で混乱し「ゼロトラスト疲れ」が起きているケースが散見されます。「全ての場所の全ての通信を検査する」というゼロトラストの原則を理解し、自組織において「全ての場所」「全ての通信」がそれぞれ何を指しているのかを明確にすることこそが、ゼロトラストベースのインフラを構築する上では必要な取り組みです。ゼロトラストは、部分最適やツールありきの取り組みから脱却するいい契機となるはずです。

Bring-Your-Own-Infrastructure(BYOI)の増加

コロナ禍で直面したインフラやセキュリティに起因する様々な制限、制約を受けて、IT部門やセキュリティ部門に対して、ビジネス要件を満たすことへの期待が一層高まっています。インフラの制限やセキュリティ上の理由でサポートできないといったIT部門やセキュリティ部門側の理由がある一方で、経営層やビジネス部門のフラストレーションが増大し、反発を招くケースも出はじめています。

IT部門やセキュリティ部門に支援を求めない形で、業務プロセスやDXなどの施策におけるクラウド移行や、これからのビジネスを見据えて事業部門やグループ会社、子会社が独自に拡張性のあるITインフラを構築するといった「Bring-Your-Own-Infrastructure(BYOI)」の動きが予測されます。

取り組み自体の妥当性については企業それぞれが判断することになりますが、インフラやテクノロジーが一層ビジネスを動かす時代に突入する中で、経営層、ビジネス部門、IT・セキュリティ部門が継続して会話する場が重要になっています。組織としてのゴールや課題の共通認識を持ち、インフラとサイバーセキュリティをビジネスを支えるものにする組織的な取り組みが強く求められます。

日本企業の海外子会社・関連会社がデータ・プライバシー法規制の制裁対象に

国内の個人情報の保護に関する法律等の一部を改正する法律においても、2022年4月からは個人情報漏えい時の通知義務や罰則をより重くするなど、個人情報を取り扱う企業・組織は一層無視できないものに変化します。個人データやプライバシーに関する法規制は、世界各地で一層厳しいものになりつつあり、海外でビジネスを行っている企業も知らなかったでは済まされないものになっています。

特に、海外子会社のセキュリティガバナンスに課題を持つ国内企業は非常に多く、結果的に制裁の対象となる事案が出てくることが予測されます。厳罰かどうかに関係なく個人情報を適切に取り扱い、その保護のためにセキュリティを整備することは、個人データを取り扱う企業として当然のこととも言えます。経営層、IT・セキュリティ部門は、自組織の法務部門との連携を一層高め、法規制の影響について継続して情報収集し、個人データの取り扱い、サイバーセキュリティ、インシデントレスポンスプランなどを随時見直すことが求められます。