今回の解説ニュース

ニュース概要

今回の発表は、2024年2月29日に公表した「グループの情報セキュリティ強化に向けた取組み」に基づき、各取組みを実行しているものです。内容として、グループ全体では、「リスクマネジメントプロセスの拡大・定着」「内部不正リスクを考慮したシステム対処」「内部不正リスクを考慮した業務運営ルールの形骸化防止」「経営層の問題解決へのコミットメント」の4点を再発防止の柱として、これらの実施に約100億円規模の予算を割り付けるとともに、約100名規模の新たな推進組織を設立し、情報セキュリティ強化に取り組むということです。

業務端末のVDI化とは

業務端末のVDI化とは、Virtual Desktop Infrastructureの略で、デスクトップ環境を仮想化して、ネットワーク経由で利用する技術です。手元にある物理的なパソコンではなく、サーバー上に仮想デスクトップを作成して、そのデスクトップを端末からリモートで利用するイメージです。

業務端末をVDI化することのセキュリティ上のメリットとして、情報漏洩対策やマルウェア対策、不正アクセス対策が挙げられます。具体的には、データはサーバー上に集中管理されるため、端末が盗まれたり紛失したりしても、データが外部に漏えいするリスクが大幅に減少します。

また、仮想デスクトップは、手元にあるパソコンと物理的に隔離されているため、マルウェアに感染しても、他の端末やネットワークに感染が広がるリスクを低減することができます。さらに、分散して脆弱になりがちなパソコンに対して、仮想化されたデスクトップ環境が集約されたサーバは強固なセキュリティ対策を集中して設定することができます。例えば、ソフトウェアのアップデートはサーバー側で一括して行うなどして、端末ごとの作業が不要になることで、相対的に不正なアクセスを防止することができます。

組織の規模によって求められるセキュリティ対策強度とは

大規模な組織は、小規模な組織と比較して、セキュリティ対策に求められる強度や難易度は相対的に上がることが考えられます。

小規模な組織の場合

小規模な組織では、組織全体で情報共有がしやすく、セキュリティ意識も高めやすいため、対策の導入や変更が比較的容易になります。しかし、小規模な組織は予算が限られているため、高額なセキュリティ製品の導入が難しかったり、専門知識を持つ人材が不足したりする場合があります。

大規模な組織の場合

大規模な組織では、豊富な予算と人材を確保できることで、高度なセキュリティ対策を導入できたり、専門のセキュリティチームを擁しやすい傾向にあります。しかし、組織が大きくなるにつれて、情報共有が徐々に難しくなる可能性があります。また、システムが複雑化することで、セキュリティリスクも多様化してしまったり、組織のビジネス規模から規制遵守の義務が厳しくなることで、コンプライアンス対応が求められる場合もあります。

セキュリティ対策は、組織の規模に関わらず重要な取り組みですが、組織の規模によって、その対策に求められる強度や課題の難易度が異なることが考えられます。