DX推進のブレーキとなるセキュリティリスク
DXを推進する際に、リスクとなる要因はいくつかあるが、セキュリティに関して言うと大きく分けて
外部脅威 : サイバー攻撃 不正アクセスなど
内部脅威 : 情報漏洩 内部不正など
DXは本質的に行動変容がともなうため、動的(ダイナミック)な対応が要求される。
特に外部脅威において、未知の-マルウェア脆弱性および攻撃-が存在するように、DXにおいても内部脅威にも行動変容に由来する未知のリスクが存在することが考えられる。
外部脅威の領域では、未知の攻撃への対応は進行形でCVEなど脆弱性情報を共有や、ホワイトハッカーによる新たな攻撃手法の研究がされている。
最新の情報についていくこと自体にそれなりの手間や費用は要するが、情報そのものの入手は可能であり、対策も可能である。
一方内部脅威に関してはどうかというと、DXによって発生するリスクは会社のルールや運用方法に依存することになる。もちろん、各社で共通するようなリスクは共有されていくだろう。
例えば、IPAのセキュリティ10大脅威にも毎年ランクインする「不注意による情報漏洩等の被害」と言う「組織」向け脅威がある。
これは、紙文書などの置き忘れ、メールの誤送信、アプリケーションの設定ミスによる情報漏洩が該当する。
ポジティブな行動変容の副作用として
ネガティブな行動変容も起こりうる
ポジティブな行動変容を期待して、DXを実施するわけなので、DXが進む過程で、組織の文化やプロセスが変化することになる。
薬を服用した際に、治療をする目的であっても、副作用が起こる。
それと同じで、DXにもポジティブな行動変容だけでなく、ネガティブな行動変容や意図しないリスク行動が起こりうる。
予測が困難なリスクの観点でDX推進のブレーキがかかってしまうことの打開策はないだろうか。
行動変容確認はログ分析によるアジャイル型PDCA
PC資産管理ツールや、ストレージサービス、アプリケーションなどには操作ログなどを出力する機能がある。
ログを分析することにより、情報漏洩やリスク行動などを可視化することができる。
DXを進める際、ルール変更によるプロセスの変更は短いサイクルで行動変容が起こるので、アジャイル型でログを分析による可視化をすることによりPDCAもアジャイル型で行うことが可能になる。
ルール変更により、仮にリスク行動が起こっていたとしても早急に発見することができるため、迅速に対応することができる。
また、そもそもどんな行動変容が起こるかも予測できないため、想定外のリスクも起こりうる。
ログ分析によるアジャイル型のPDCAは想定外のリスクの発見にも効果があるため、DX推進のブレーキを緩める効果も期待できる。
ログのような構造化されたデータだけでなく、メールやチャットなどの非構造化データもうまく連携し、分析活用できればアジャイル型のPDCAも効果的となり、飛躍的にDXが推進されると筆者は考えている。