2020年10月30日

『2025年の崖』から落ちないためのISMSにおけるDX戦略とは?

lrmcorp
LRM株式会社 記事一覧
Posted in ISMS/ISO27001,
このエントリーをはてなブックマークに追加 LINEで送る

最近ますます目にするようになった『DX』という言葉や、2018年に登場し今なお多くの企業で課題とされる『2025年の崖』問題。この記事では、ISMSの運用におけるDX化対応について簡単に見ていきたいと思います。

『2025年の崖』とは?

『2025年の崖』は、経済産業省によって2018年に発表された「DXレポート ~ITシステム「2025年の崖」の克服とDXの本格的な展開~」(以下「DXレポート」)で言及されたものです。そこでは、「もしDX化が進まなければ、2025年以降に最大で年間12兆円の経済損失が生じる可能性がある」という点が問題提起されました。

『DX(デジタルトランスフォーメーション)』とは?

DXは、「デジタルトランスフォーメーション:デジタル変換」のことを指し、この「DX」の概念としては、「進化したデジタル技術が浸透することで人々の生活が豊かなものに変換される」といった意味合いです。

「DXレポート」での視点からいうと、DXに対応しないことが競争力の低下につながる(ので、DX化しましょう)という、企業が行うべきことという意味合いがあります。

ISMSについて

簡単に説明すると、ISMSとは、情報セキュリティ(Information Security)を管理する仕組み(Management System)のことです。情報セキュリティの定義として、一般的に、情報の機密性・完全性・可用性の3要素を維持することと説明されます。機密性とは情報が漏れないこと、完全性とは情報が間違っていないこと、可用性とは必要なときに情報が使えることをいうとイメージして頂けたらと思います。

ISMSについては、国際規格としてISO27001という規格があります。
この規格自体にDX化固有の対応策が書かれているわけではありません。しかし、DX化に向けて対策をとっていく際には、様々な情報セキュリティ上のリスクがあります。そこで、情報セキュリティに関するリスクマネジメント規格であるISO 27001が有効です。

ISMS(ISO 27001)の観点から見た「2025年の崖」問題とDX化

DX化と称して、むやみやたらにデジタル化したり何も考えずに新しいシステムを取り入れていくと、例えば意図しない人間が情報にアクセスできたり(機密性の喪失)、どのシステムで作成したデータが最新版なのか分からなくなったり(完全性の喪失)、必要以上に認証を複雑にしてしまったり(可用性の喪失)といった弊害が生じることは想像に難くありません(というよりそのような取組はそもそも『DX』の定義とは異なるものでしょう)。

また、そもそも2025年問題の「データが活用しきれずDXを実現できない」、「古いプログラミング言語に対応できない」などは、可用性が喪失した状態といえます。

そこで、これらの問題をISO 27001の観点で見ていきます。

まず、ISO 27001の本文の部分では、情報セキュリティの管理のためのPDCAについて書かれています。そこでは、まず「外部及び内部の課題を決定しなければならない」と書かれています。「2025年問題」や「DX化」といった抽象的な問題提起はこの外部及び内部の課題として設定することができます。

次に、「利害関係者」を特定し、それらの者の「情報セキュリティに関連する要求事項」を決定するように書かれています。例えば顧客からは「DX化による提供するサービスの向上」、従業員からは「DX化による業務の効率化」、株主からは「2025年問題への対処による会社経営の安定」といったことが考えられます。

これらは実際には必ずしもそのように特定まではしなくても大丈夫ですが、本文の中でも、リスクアセスメントとリスク対応計画の部分は、DX化推進に向けて実質的に重要となってくる部分となります。

まず、リスクアセスメントのフェーズです。
リスクの洗い出し方は様々あります(業務別、資産別など)が、
2025年問題に関して洗い出されるリスクとしては、

  • データが活用しきれずDXを実現できない
  • システムの維持管理費の高額化
  • 組織におけるIT人材の不足
  • 古いプログラミング言語を知る人材の供給不可

などが挙げられます(実際にはより具体化した形でリスクとして挙げることになるかと思いますが)。

また、DX化への対応に関して洗い出されるリスクとして、「新たなシステムを導入することに伴うリスク」や「業務手順を変更することに伴うリスク」を具体化したリスクが現れることになります。

このようなリスクアセスメントを通じて、リスクへの対応計画を定めていくことになります。

こちらも具体的な対応はそれぞれ異なりますが、どのようなポイントでリスクへの対応を選択するか、抜け漏れがないかを確認するものとして、ISO 27001の附属書Aに網羅的に書かれた各管理策が有効です。

附属書Aは対応策の例が書かれていると書きましたが、抽象的な記述となっています。そのため、DX化という観点への対応策がそこに書いてあるわけではありません。

ただ、どのような場合でも情報セキュリティ上対応することが考えられる項目~「情報の分類」をどうするか、「運用のセキュリティ」でどのようなことを検討するか、など~が、114個にわたって書かれているので、DX化という新しい問題に対しての対応の方向性を考えるのに十分な検討ができます。

おわりに

実際の対策となると個々の組織における現在の状況によって、また、2025年以降に向けてどのようにしていくかという経営目標によっても異なってきますので、「これ」というものをあげることはできません。しかしながら、ISMSの取組みの中でもDX化を目指す活動ができるということに関してはお伝え出来たのかなと思います。

ISMSを構築されている組織においても、一度『2025年問題』や『DX化』といった観点から見てみてはいかがでしょうか。

このエントリーをはてなブックマークに追加 LINEで送る

2020年10月30日

『2025年の崖』から落ちないためのISMSにおけるDX戦略とは?

Posted in ISMS/ISO27001

最近ますます目にするようになった『DX』という言葉や、2018年に登場し今なお多くの企業で課題とされる『2025年の崖』問題。この記事では、ISMSの運用におけるDX化対応について簡単に見ていきたいと思います。

『2025年の崖』とは?

『2025年の崖』は、経済産業省によって2018年に発表された「DXレポート ~ITシステム「2025年の崖」の克服とDXの本格的な展開~」(以下「DXレポート」)で言及されたものです。そこでは、「もしDX化が進まなければ、2025年以降に最大で年間12兆円の経済損失が生じる可能性がある」という点が問題提起されました。

『DX(デジタルトランスフォーメーション)』とは?

DXは、「デジタルトランスフォーメーション:デジタル変換」のことを指し、この「DX」の概念としては、「進化したデジタル技術が浸透することで人々の生活が豊かなものに変換される」といった意味合いです。

「DXレポート」での視点からいうと、DXに対応しないことが競争力の低下につながる(ので、DX化しましょう)という、企業が行うべきことという意味合いがあります。

ISMSについて

簡単に説明すると、ISMSとは、情報セキュリティ(Information Security)を管理する仕組み(Management System)のことです。情報セキュリティの定義として、一般的に、情報の機密性・完全性・可用性の3要素を維持することと説明されます。機密性とは情報が漏れないこと、完全性とは情報が間違っていないこと、可用性とは必要なときに情報が使えることをいうとイメージして頂けたらと思います。

ISMSについては、国際規格としてISO27001という規格があります。
この規格自体にDX化固有の対応策が書かれているわけではありません。しかし、DX化に向けて対策をとっていく際には、様々な情報セキュリティ上のリスクがあります。そこで、情報セキュリティに関するリスクマネジメント規格であるISO 27001が有効です。

ISMS(ISO 27001)の観点から見た「2025年の崖」問題とDX化

DX化と称して、むやみやたらにデジタル化したり何も考えずに新しいシステムを取り入れていくと、例えば意図しない人間が情報にアクセスできたり(機密性の喪失)、どのシステムで作成したデータが最新版なのか分からなくなったり(完全性の喪失)、必要以上に認証を複雑にしてしまったり(可用性の喪失)といった弊害が生じることは想像に難くありません(というよりそのような取組はそもそも『DX』の定義とは異なるものでしょう)。

また、そもそも2025年問題の「データが活用しきれずDXを実現できない」、「古いプログラミング言語に対応できない」などは、可用性が喪失した状態といえます。

そこで、これらの問題をISO 27001の観点で見ていきます。

まず、ISO 27001の本文の部分では、情報セキュリティの管理のためのPDCAについて書かれています。そこでは、まず「外部及び内部の課題を決定しなければならない」と書かれています。「2025年問題」や「DX化」といった抽象的な問題提起はこの外部及び内部の課題として設定することができます。

次に、「利害関係者」を特定し、それらの者の「情報セキュリティに関連する要求事項」を決定するように書かれています。例えば顧客からは「DX化による提供するサービスの向上」、従業員からは「DX化による業務の効率化」、株主からは「2025年問題への対処による会社経営の安定」といったことが考えられます。

これらは実際には必ずしもそのように特定まではしなくても大丈夫ですが、本文の中でも、リスクアセスメントとリスク対応計画の部分は、DX化推進に向けて実質的に重要となってくる部分となります。

まず、リスクアセスメントのフェーズです。
リスクの洗い出し方は様々あります(業務別、資産別など)が、
2025年問題に関して洗い出されるリスクとしては、

  • データが活用しきれずDXを実現できない
  • システムの維持管理費の高額化
  • 組織におけるIT人材の不足
  • 古いプログラミング言語を知る人材の供給不可

などが挙げられます(実際にはより具体化した形でリスクとして挙げることになるかと思いますが)。

また、DX化への対応に関して洗い出されるリスクとして、「新たなシステムを導入することに伴うリスク」や「業務手順を変更することに伴うリスク」を具体化したリスクが現れることになります。

このようなリスクアセスメントを通じて、リスクへの対応計画を定めていくことになります。

こちらも具体的な対応はそれぞれ異なりますが、どのようなポイントでリスクへの対応を選択するか、抜け漏れがないかを確認するものとして、ISO 27001の附属書Aに網羅的に書かれた各管理策が有効です。

附属書Aは対応策の例が書かれていると書きましたが、抽象的な記述となっています。そのため、DX化という観点への対応策がそこに書いてあるわけではありません。

ただ、どのような場合でも情報セキュリティ上対応することが考えられる項目~「情報の分類」をどうするか、「運用のセキュリティ」でどのようなことを検討するか、など~が、114個にわたって書かれているので、DX化という新しい問題に対しての対応の方向性を考えるのに十分な検討ができます。

おわりに

実際の対策となると個々の組織における現在の状況によって、また、2025年以降に向けてどのようにしていくかという経営目標によっても異なってきますので、「これ」というものをあげることはできません。しかしながら、ISMSの取組みの中でもDX化を目指す活動ができるということに関してはお伝え出来たのかなと思います。

ISMSを構築されている組織においても、一度『2025年問題』や『DX化』といった観点から見てみてはいかがでしょうか。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする