情報通信技術の進歩によって多様な働き方が可能になった反面、情報漏洩リスクが以前にも増して増加しています。セキュリティ管理を怠れば、企業の社会的評価が低下するにとどまらず、業務を停止せざるをえない状況にまで陥りかねません。そこで本記事では、情報漏洩リスクや対策方法について解説します。
企業が抱える侮れない情報漏洩のリスク
現代社会はテクノロジーの進歩によって目覚ましい発展を遂げました。しかし、どのような物事にもメリットの裏には相応のデメリットがあり、コンピュータの進歩によって市場経済が発展する一方で、不正アクセスやマルウェアなどの脅威も年々巧妙化しています。サイバー攻撃の脅威から企業の情報資産を保護するためには、あらゆるリスクを想定したセキュリティ体制の構築が不可欠です。
特に近年は働き方改革の推進や新型コロナウイルス感染拡大の影響もあり、テレワーク導入に至る企業が増加傾向にあるため、セキュリティ強化の必要性が高まっています。テレワークは新しい時代に即した働き方として注目を集めているワークスタイルです。しかし、オフィス外からリモート形式で業務に取り組むという性質上、デバイスの紛失や盗難によるセキュリティインシデントが懸念されます。また、内部の人間が意図的に機密情報を流出させるといったリスクも否定できません。
情報漏洩対策を行わないとどうなるのか
セキュリティ管理を怠れば、OSコマンドインジェクションによる不正なOSコマンドの実行、あるいはクロスサイトスクリプティングによる個人情報の詐取などを招き、重大な情報漏洩インシデントにつながる可能性があります。情報漏洩インシデントは企業が積み上げてきた社会的信用の失墜を招くだけでなく、損害賠償請求や取り引き停止などの損害をもたらし、事業継続性の確保が困難になるでしょう。このような事態を防ぐためにも、堅牢なセキュリティ環境を構築し、企業の情報資産を保護しなくてはなりません。
特に統合基幹システムであるSAPのセキュリティ管理は最も重要な経営課題のひとつです。SAPは人事・財務・会計・製造・販売などの基幹業務を統合管理するERPシステムであり、さまざまな経営データが一元管理されています。SAPは全社共通で利用するシステムのため、情報の閲覧や編集に関するデータガバナンスの整備が不可欠です。決して流出してはならない機密情報も管理されているため、社内システムのなかでも優先的にセキュリティ強化を図る必要があります。
企業が行うべき情報漏洩対策
ここからは、実際に企業が実施すべき情報漏洩対策について見ていきましょう。
社内セキュリティルールの確立
社内セキュリティを強化する上で最も重要となるのが、データガバナンスの整備です。データガバナンスとはデータの運用・管理における明確なルールを策定し、そのルールを遵守する体制を構築する仕組みを指します。たとえば、セキュリティポリシーの策定やセキュリティソフトの導入、アクセス権限設定や職務分掌の規定、OSやソフトウェアのアップデート規定などが挙げられます。データの運用・管理におけるガバナンスを整備することで、どのようなセキュリティ体制を構築していくべきかが可視化されます。
セキュリティ教育の強化
セキュリティルールの確立後は、策定された社内ルールを遵守するための環境づくりが必要です。しかし、セキュリティルールのすべてを従業員に理解させるのは容易ではありません。そこで重要となるのがセキュリティに関する社内教育の充実です。社内研修の実施やeラーニングの活用はもちろん、新たな発想や知識を得るために外部セミナーを利用するのも有効な施策といえます。こうした教育体制を整備することによって、従業員一人ひとりの危機管理意識が高まれば、結果として社内セキュリティの強化につながるでしょう。
AI・ビッグデータ時代に望まれるセキュリティ対策とは?
現代は情報爆発時代と呼ばれることもあり、企業では増大し続けるビッグデータの運用・管理が重要課題となっています。AIやIoTによる技術革新が進む現代社会では、あらゆるリスクを想定した多層的なセキュリティ環境の構築が求められます。そのため、従来のような境界型防御モデルではなく、ゼロトラストセキュリティの概念が普及しつつあります。たとえば、AIやBIツールによる危険予測や不正感知を用いたセキュリティ環境の構築がその一例といえます。
GRCシステムでセキュリティ強化
セキュリティ環境を整備するためには、データの運用と管理における内部統制が必要です。そこで重要となるのが、「GRC」に基づくデータガバナンスの構築です。GRCとは「Governance(ガバナンス)」「Risk(リスク)」「Compliance(コンプライアンス)」の頭文字をとった略称で、経営体制の統合的なリスクマネジメント手法を指します。企業の倫理や秩序を統制する「ガバナンス」、あらゆる経営危機を想定する「リスク管理」、法令や社内ルール、社会規範に準拠する「コンプライアンス」の3要素を統合的にマネジメントする概念です。
近年、激化する市場競争を生き抜く戦略のひとつとして、M&Aを選択する企業が増加しています。M&Aによる組織の統合や再編を成功させるためには、企業倫理や社内規定の迅速な整備と、その仕組みを遵守する内部統制が欠かせません。その指針となるのがガバナンスとリスク、そしてコンプライアンスに基づくGRCです。また、市場のグローバル化によって海外企業に業務委託する機会が増加している影響もあり、GRCは重要な経営指針のひとつとして注目を集めています。
SAPのGRCソリューションの特徴
時代の変化とともにセキュリティ環境の強化が重要課題となるなか、導入が進みつつあるのがGRCソリューションです。GRCソリューションとは、コンプライアンス・リスク・ガバナンスの3要素に基づいたセキュリティ環境を構築するシステムを指します。特に市場から高い評価を得ているのが、SAP社が提供するGRCソリューションです。
SAP社はERP市場でトップシェアを誇るリーディングカンパニーであり、国内でも多くの企業が「SAP ERP」や「SAP S/4HANA」を統合基幹システムに採用しています。SAP社はERPシステムだけでなく、セキュリティソリューションの開発にも注力している企業です。たとえば、ビッグデータ分析や機械学習などを組み合わせた危険予測や不正感知といった技術を実現しており、こうした取り組みと併せて独自の知見に基づくGRCソリューションを提供しているトップシェアを誇るリーディングカンパニーであり、国内でも多くの企業が「SAP ERP」や「SAP S/4HANA」を統合基幹システムに採用しています。たとえば、ビッグデータ分析や機械学習などを組み合わせた危険予測や不正感知といった技術を実現しており、こうした取り組みと併せて独自の知見に基づくGRCソリューションを提供しています。
GRCソリューションの一例としては、リスク分析に特化した「SAP Access Control」や国際取り引きの集中管理に長けた「SAP Global Trade Services」などが挙げられます。その他にも、サイバー攻撃を事前検知する「SAP Enterprise Threat Detection」や、データプライバシーを管理して内部統制を図る「SAP Privacy Governance」といったソリューションもあります。こうしたリスク対応とデータ保護、そして国際取り引き管理やアクセスガバナンスといった分野を強化し、企業のデータガバナンスの強化を図るのがGRCソリューションの役割です。
まとめ
情報漏洩インシデントは企業の社会的信用を失墜させるだけでなく、損害賠償請求や取り引き停止といった多大な損害をもたらす可能性があります。このような事態を防ぐためには、GRCに基づく強固なセキュリティ体制を整備しなくてはなりません。「SAP Access Control」の導入を検討している企業は、リアルテックジャパンが提供するGRCソリューションの利用がおすすめです。ぜひ一度ご検討ください。
(https://www.realtech.jp/professional-services/compliance-security/grc)
この記事に関するサービスのご紹介
導入/移行(プロフェッショナル)サービス
プロフェッショナルサービスでは主にSAPシステムの導入や移行、それに伴うテクニカルな支援を行います。ERPやS/4 HANA、SolManといった様々なSAP製品の新規導入、クラウドを含む様々なプラットフォームへのSAPシステムの最適な移行、保守切れに伴うバージョンアップ・パッチ適用等の作業だけでなく、パラメータ設計、パフォーマンスチューニング、導入・移行計画支援等についても対応いたします。
詳細はこちら
