DXとセキュリティ

Share

今回は、デジタル技術を活用して経済にイノベーションをもたらすDXと、そのセキュリティについて考えます。「DX」と「IT化」との違いや、日本企業のDXを阻害すると考えられている「2025年の崖」とは何か、そして、政府によるDX推進のための補助金などを紹介します。

また、DXと歩みを同じくするように進化を続けるサイバー犯罪に対応するための心構えについても、今回は考えてみたいと思います。

DXとは

DXは、Digital Transformation(デジタルトランスフォーメーション)の略称です。Trans(トランス)には「交差する」という意味があり、「Trans」を「X」と表記することがあるため(「X」は線が交差しているから)、「DT」でなく「DX」と略されます。

DXとは、デジタル技術を活用してビジネスやサービスを変革し、イノベーションを推進することです。

単なる「IT化」と「DX」の違い

これまでの「IT化」は、既存のビジネスにITを導入することによって、「効率化」「省力化」「高速化」を行いました。既存のビジネスプロセスや商習慣は大きく変わることなく、IT技術はあくまで「手間を減らすため」「少ない人数でできるようにするため」「以前よりも速くするため」に奉仕する存在でした。

一方でDXは、従来の方法を単に強化してサポートするだけではなく、デジタル技術が生み出すイノベーションによって、全く新しいビジネスモデルを生み出す点が異なります。

レガシーに足を取られて前進できない~DXを阻む「2025年の崖」とは

経済産業省は2018年、「DXレポート ~ITシステム『2025年の崖』克服とDXの本格的な展開~」と題した報告書を公開し、日本経済のDXを阻害する要因に対して警鐘を鳴らしました。「2025年の崖」とは、過去の「IT化」によって生み出されたシステムのメンテナンスに予算と人員がとられて、日本経済が停滞してしまうという予測です。

森喜朗首相(当時)によって「IT革命」が叫ばれた西暦2000年頃、NHFを代表とするシステムインテグレータ企業は、日本企業の複雑かつときに奇怪にすら見えたビジネス慣習に、いかに寄り添って微細にカスタマイズをして納品するか、その腕前を競い合いました。こうして複雑にカスタマイズされたシステムが年を経て技術が時代遅れになり、ブラックボックス化して機能追加もままならなくなり、管理も属人化してしまいました。

経産省のレポートでは、こうした新しい価値を生まないシステムの維持のために、IT投資の9割が使われ、それによって日本経済が停滞すると予測しています。まさに砂漠に水を撒き続けるような状態です。

技術的な負債となり得るIT投資

(出典:経済産業省「DXレポート ~ITシステム『2025年の崖』克服とDXの本格的な展開~」)

あなたの会社が今やろうとしていることは、このようなIT投資になっていないでしょうか。DXを進める際に注意したいポイントです。

DXの成功事例、Uberは何が革新的だったのか

配車サービスのUberは、DXの成功事例のひとつといえるでしょう。乗り合いサービスを提供したいドライバーと利用者をマッチングするアプリは、世界各国で使われています。GPSと地図、マッチングと評価の機能、Uberが用いているのは特段新しい技術ではありません。Uberが行ったのは、新しいビジネスモデルの創出なのです。

一方でUberは、ロンドンやニューヨークをはじめとする世界中で、タクシー業界を壊滅させるサービスとして猛反発を受けています。既存の業界やビジネスプロセス、商習慣に対して、ときに破壊的インパクトを与えるのもDXの特徴のひとつといえるかもしれません。

2025年の崖にも、DXによる解決方法はきっとあるはずです。

税金や補助金など、DX優遇あれこれ

人口減少社会に突入した日本経済の起爆剤として、政府はDXを強力に推進しています。2020年10月には、大手経済紙が、2021年度の税制改正で、DXを進める企業への税制優遇策を政府が検討していると報じました。

税制優遇は詳細がまだ明らかにはなっていませんが、その他にも「IT導入補助金」「DX認定制度」など、DXを推進するためのさまざまな施策が政府の後押しで行われています。あなたの会社でも利用できるものがあるかどうか、一度調べてみてもいいかもしれません。なお、2020年度の「IT導入補助金」交付申請締め切りは、2020年12月18日17時です。

革新が進むサイバー攻撃

残念ながら、サイバー攻撃もまた、DXによってイノベーションが進んでいます。これまでもサイバー攻撃は進化を続けてきましたが、サイバー犯罪にも質的変化や革新が起こりました。

たとえばランサムウェアは、1989年に初めて発見され、長らくパッとしないサイバー犯罪のひとつとして存在し続けていました。しかし2013年、身代金受け取りにビットコイン等の仮想通貨を用いるというビジネスモデルの刷新によって、一転「収益を生むサイバー犯罪」に変わりました。近年、暗号化して人質にしたデータの復号だけでなく、データを一般公開すると脅し二度金銭を要求したり、大事なデータをオークションで販売するなど、ランサムウェアは悪質化の一途を辿っています。

「DX with Cybersecurity」、SQAT.jpが考える3つのキーワード

内閣サイバーセキュリティセンター(NISC)は、報告書「サイバーセキュリティ2020 」の中で、「DX with Cybersecurity」として「サイバーセキュリティ対応能力の効果・効率を向上させるためにDXを推進する」と記載しています。

なかなか難しい「DXとセキュリティ」というテーマではありますが、SQAT.jpとしてあえて3つのキーワードを挙げてみましょう。

1.担当者だけではない

デジタル技術そのものが新しい価値と利益を生み出すDXでは、セキュリティは情報システム部門やセキュリティ部門、あるいは品質管理部門や経営企画だけが担えばよいものではなく、すべての部門が自分事として取り組む必要があります。事業会社であるなら、たとえ間接部門に所属していても全部署の人が利益を考えて活動しなければならないことと同じように、全社員がセキュリティを考えて動く必要があります。

2.能動的セキュリティ

これまでセキュリティは、攻撃を未然に防ぐよう対策を行い、万一事故が発生したらそれを受けて対応するのが常でした。しかしこれからのDX時代は違います。企画段階からセキュリティバイデザインで要件定義を行い、将来脆弱性を生まないように、コード診断を行いながらDevSecOpsで開発をスピーディに進めるなど、先手先手でセキュリティの試みを能動的に行うようになるでしょう。「シフトレフト」があたりまえになって、その言葉すらなくなるかもしれません。

3.持続・継続性

DXによって生み出されるサービスの多くでは、「新時代の石油」と呼ばれる「データ」、つまり、位置情報や決済情報、健康情報等と結びついた個人情報が、渦となって集積することになるでしょう。セキュリティを担保する活動を定常的に行い続けることが、DX時代の企業の新しい存在意義のひとつになると考えられます。そこでは、クラウドの活用や自動化の推進、優秀な人材の確保が欠かせません。また、SQAT.jpが提唱してきた「セキュリティのかかりつけ医」的な会社との関係を構築することも鍵になるのではないでしょうか。

DX時代もセキュリティの本質は変わらない

DX時代、セキュリティ業務はその対象をIoTやAPIにまで拡大し、その方法も様変わりしていくことが予想されます。しかし、脆弱性診断で隠れたセキュリティホールを探したり、脆弱性が報告されたらすばやくパッチをあてたり、日々パスワード管理を行ったりするなど、安全を守るための活動を日々積み重ねていくことの重要性に変わりはありません。

DXの時代はむしろ、全社にセキュリティの重要性が認識され、受け身だった仕事に能動的な側面が増えることで、セキュリティの業務の価値がいっそう高まっていくでしょう。

まとめ

  • DXとは、デジタル技術を活用してビジネスにイノベーションをもたらすことです。
  • 既存のビジネスにITを導入するだけの「IT化」とDXは異なります。
  • 複雑にカスタマイズされてブラックボックス化した既存システムは企業のDXを阻害します。
  • 政府は優遇税制や補助金などを用意してDXを推進しています。
  • サイバー犯罪もまた革新と進化を続けています。
  • しかしDX時代とはいえ、セキュリティ業務の本質は何ら変わるものではありません。

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share

APIのセキュリティ脅威とは

Share

APIとは、ソフトウェアが相互に機能やデータを利用しあうための仕組みで、機能や開発効率を向上させるなどのメリットがあります。しかしAPIにもセキュリティ上のリスクがあり、セキュリティ対策を怠ったことによる被害も報告されています。今回は、APIの安全な利活用について解説します。

「API」とは

「API」とは「Application Programming Interface」の略で、複数のソフトウェアが相互に機能を利用しあうために設けられたインターフェースを意味します。コンピュータプログラムやWebサービスなどをつないで連携させ、さまざまな機能やデータを共有可能にすることで、従来にない価値を生み出せるという点が大きなメリットといわれています。例えば、あるアプリが、特定の機能を持つAPIを利用することで、それまでなかったサービスをユーザに提供できるようになります。

APIのなかでも広く利用されているのがWebに公開されている「Web API」で、多数のWebサービスやプラットフォーマーが各社のWeb APIを公開しています。身近な例としては、位置情報ゲームで地図情報サービスが提供するAPIを利用するケースなどがあります。

APIの積極的な活用は、IoTや企業のDX(デジタルトランスフォーメーション)の実践に不可欠と言っても大げさではありません。さまざまなアプリやWebサービスがAPIを通じて相互接続することで、利用者の利便性の向上、経済の活性化など、単独では実現できなかった価値を生み出せるようになります。こうした仕組みのことを「APIエコノミー」と呼ぶこともあります。

あなたの身近にあるAPIの活用例

Webサービスなどを利用しているときに「Facebookでログイン」「Googleでログイン」などのボタンを見たことはありませんか? Facebook、Google、Twitterなどで設定したアカウントを使って、別のECサイトなどにログインする「ソーシャルログイン」は、各サービスが公開するAPIを使って実現されています。また、企業などのWebサイトで地図情報がGoogle Mapから呼び出されて掲載されている、あの仕組みもAPIによるものです。

API活用のメリット

APIを活用すれば、個別の機能を各サービスで一から開発する必要がなくなるため、開発効率が上がり、コストを抑えることができます。機能を提供する側も、機能を使ってもらうことで自社のブランド力の向上、広告収入といった経済的利益を得られます。また、前出の「ソーシャルログイン」などでは、独自のログイン用プログラムを各企業がそれぞれ開発する場合に比べ、一定のセキュリティ水準を確保できるという効果も期待できます。

Web APIはWebアプリケーションでどう使われるか

ここで、「Web API」はいわゆる「Webアプリケーション」でどう使われるのか、少し補足しておきましょう。

WebアプリケーションがAPIを用いて地図情報だけを外部の地図サーバから取得しているケースについて考えてみます。Webサーバはブラウザからのリクエストを受け、WebアプリケーションからAPIを経由して地図情報を地図サーバにリクエストします。地図サーバはAPIを介して地図情報をWebアプリケーションへ送り返します。それを受けたWebサーバが、地図情報を含めたページ全体をユーザに返します。ユーザから見たときにはAPIを使っているかどうかはわかりませんが、このように、APIは、特定の機能のため、特定の情報のやり取りのために利用されているのです。

APIのセキュリティの重要性

Webサービスを利用するユーザ側から見れば、そこでAPIが使われているかどうかは何ら重要なことではありません。しかしサービス提供側から考えた場合、APIにもWebアプリケーション同様、脆弱性をはじめとするさまざまなセキュリティリスクが存在することを忘れてはなりません。また、近年のスマートフォンの普及により、スマートフォンのアプリケーションがAPIを直接利用するケースも増えており、今までサーバ側での利用が主流だったAPIがユーザの手元から直接利用される時代になっている点にも注意が必要です。

適切なセキュリティ対策を怠った場合のリスクは、むしろWebアプリケーションよりも深刻かもしれません。さまざまなソフトウェアと連携するというAPIの特質から、被害が自社のコントロールの及ぶ範囲を超えて広がる可能性が想定されるためです。

APIが原因で起こったサイバー攻撃被害

2018年、米大手SNSが開発者向けに公開していたAPIのバグが悪用され、ログインを行う際のカギとなるデータが盗まれる事件が発生しました。2019年には、大手配車マッチングアプリで、APIが降車時の支払い方法の検証をしないことで、無賃乗車ができてしまうバグが報告されています。

米大手SNSの事件は、多数のAPIが組み合わされることによって、バグの検出やセキュリティ上の問題の発見が遅れたり困難になったりするという問題をあらわにしたものでした。また、配車マッチングアプリのバグは、APIの入力値を検証することの重要性を改めて気づかせるものでした。

その利便性から急速に普及が進んでいるAPIですが、「事故やサイバー攻撃被害の発生によって初めて、リスクの存在を認識する」という昨今の状況を踏まえると、セキュリティに関してはまだまだ未成熟な領域であるといえるでしょう。

「OWASP API Security Top 10」などのリソースを活用して対策を立てる

こうしたサイバー攻撃被害や事故を受け、今、APIのセキュリティは最重要事項の1つとして取り組まれるようになっています。その大きな成果の1つとして、「API Security Top 10」をご紹介しましょう。これは、Webアプリケーションセキュリティに関する国際的コミュニティOWASP(Open Web Application Security Project )がAPIセキュリティに関する10大リスクを選定・解説したもので、2019年末に公開されました。API固有のセキュリティリスクを把握し、対策を講じるために役立ちます。


OWASPによるAPIセキュリティ10大リスク

1.オブジェクトレベルでの許可の不備(Broken Object Level Authorization)
2.認証の不備(Broken User Authentication)
3.データの過度な露出(Excessive Data Exposure)
4.リソースの制限、頻度の制限の不足(Lack of Resources & Rate Limiting)
5.機能レベルの認可の不備(Broken Function Level Authorization)
6.一括での割り当て(Mass Assignment)
7.不適切なセキュリティ設定(Security Misconfiguration)
8.インジェクション(Injection)
9.不適切なアセット管理(Improper Assets Management)
10.不充分なロギングとモニタリング(Insufficient Logging & Monitoring)

(翻訳:SQAT.jp 編集部)


上記のような資料は、自組織のAPIセキュリティを点検する際のガイドラインとしてぜひ活用したいものです。さらに、APIを含むWebアプリケーションに対する脆弱性診断サービスを利用して、第三者視点から、自組織のシステムで使用されているAPIのセキュリティを定期的に評価することもお勧めします。

まとめ

・APIとはアプリやWebサービスなどが相互に機能やデータを利用しあうための仕組みです。
・API活用には、開発のスピードアップやコスト削減などのメリットがあります。
・近年はスマートフォンからAPIを直接利用できるケースも増えており、利用の機会が増えています。
・APIにもセキュリティ上のリスクがありますが、様々なサービスとつながるために利用するという性質から、ひとたび事故や攻撃が起こった場合、より広い範囲に影響が及ぶ可能性があります。
・APIのセキュリティ対策を怠ったことによるサイバー攻撃被害や事故が報告されています。
・OWASP「API Security Top 10 2019」などを参考にAPIのセキュリティ強化に取り組みましょう。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share