2025年の壁とは?
経済産業省は2018年、「DXレポート ~ITシステム『2025年の壁』の克服とDXの本格的な展開~」を発表しています。当時、情報システムの関係者の間では、DX(デジタル改革)を推進する上での障壁を表すキーワードとして、「2025年の壁」に関心が集まりました。
「DXレポート」では、国内企業のITシステムの課題が克服されないと、DXが実現できないだけでなく、競争力の低下やシステムの維持にかかる負荷などの要因が重なって、2025年以降、最大で年間12兆円の経済損失が生ずる可能性があると示唆しています。これが「2025年の壁」です。
壁の実態はレガシー
レポートが指摘したITシステムの課題は、レガシーの存在に集約できます。レガシー(legacy:遺産)はITの分野では「従来型」や「古い技術」を示しますが、具体的には1980~1990年代にメインフレームやオフコンを軸に設計されたシステムをレガシーと呼ぶことが多いようです。
レガシーの多くは、受発注や在庫管理など、企業の主要業務を担う、いわゆる「基幹系」に分類されます。昔から続いてきた基幹業務の安定稼働を維持するには、インターネットとモバイル、クラウドなどが普及してきた環境にあっても、新しい技術を中心に据えたシステムへの刷新は容易ではありません。
「DXレポート」発表時点(2018)のレガシーの状況
出典:「DXレポート ~ITシステム『2025年の壁』の克服とDXの本格的な展開~」 経済産業省
つまり、レガシーが根強く残る実態がDX推進の障壁と言えるのですが、“12兆円の損失”につながる理由をもう少し補足しておくと、以下の点を主な根拠としています。
・既存システムでは、データ活用・データ連携が十分にできずDXを実現できない
・既存システムの維持管理費が高額化し、IT予算の9割以上を占める
・サイバー攻撃や事故・災害によるシステムトラブル、データ損失のリスクが増大
DX推進に対する足かせ
出典:「DXレポート ~ITシステム『2025年の壁』の克服とDXの本格的な展開~」 経済産業省
増幅するセキュリティリスク
2025年に壁を設定した理由の一つに、セキュリティリスクがあります。前述した3項目の3番目に通ずる点ですが、以後はDX推進とセキュリティの関係をクローズアップしてみましょう。
課題の一つはサポート切れです。
企業で稼働しているレガシーシステムは、老朽化とベンダー側のレガシーに精通したエンジニアの不足などの課題があり、2025年以降にサポートを終えていくケースが多いとされています。
またPC OSでは、Windows 10が2025年10月にサポートを終了する予定ですが、企業向けのサーバーOSや主要アプリケーションにも、この時期にサポート期限を終えるプロダクトがあります。サポートが終了した製品は、脆弱性の修正などの更新が行われなくなりますから、セキュリティリスクが増大してしまいます。
--------------------------------------------
◇2025年前後にサポートが終了する主なソフトウェア製品
・Windows 10 … 2025年10月サポート終了予定
・Microsoft Office 2019 … 2025年10月サポート終了予定
・SQL Server 2016 … 2022年メインサポート終了、2027年1月延長サポート終了予定
・Windows Server 2016 … 2022年メインサポート終了、2027年1月延長サポート終了予定
--------------------------------------------
企業に導入されているレガシーは、その多くが業務に合わせて細部までカスタマイズされています。先鋭化するサイバー攻撃に対してセキュリティ技術も進歩していますが、レガシーとのマッチングは難しく、全社的なセキュリティポリシーの適用も容易ではありません。最近は弱点が残るシステムは攻撃者からすぐに検知され、その情報はダークウェブに流れますから、攻撃の標的になりやすくなってしまうのです。
またレガシーは、物理的にもオンプレミス(自社構築)のサーバーとデータセンターなどにリソースが分散する傾向にあります。運用管理が煩雑化し、操作ミスや認証の甘さによる情報漏えいのリスクが高まることも否めません。
DXと安全対策は別種の工事
2025年の壁に対する企業の関心はDX推進、“データとデジタル技術を生かし、顧客と社会のニーズに呼応しながら継続的な発展を指向”、“競争力の向上に加え、新しいビジネスモデルを創成”といったビジネスの改革に向けられていると思います。
IPA(情報処理推進機構)が発表した「DX動向 2024」や調査会社の報告を見ると、日本企業の70%前後は、何らかの形でDXに取り組んでいるようです。
一方で、全社的なセキュリティポリシーを確立している企業の割合は、20~30%程度となっています。この種の調査では、対象の業態や規模によって数字に幅が出ますが、DX推進とセキュリティ対策を並走し、同等の力点を置いている組織は少ないようにみられます。
DXへの取組み状況
出典:「DX動向 2024」 IPA
言うまでもなく、DXとセキュリティは次元の異なるマターです。
ランサムウェアやサプライチェーン攻撃、ビジネスメール詐欺など、ビジネス社会の足を引っ張るサイバー攻撃は多発しています。DXで企業の競争力を強化し、新しいビジネスモデルを創出できても、先鋭化した攻撃を阻止できるわけではありません。
環境変化に呼応した安全対策を
現在のシステム環境は、レガシーが設計された時代とは一変しています。クラウドの利用が一般化し、スマートフォンが行き渡る2010年頃からは、多くの企業がこれを日常業務に採り入れました。インターネットと汎用的な新技術、新システムを活用することで、企業内、企業間のデータ連携も加速しています。
ここ数年はテレワークの浸透によって、情報システムを利用する環境も拡がりました。システムの形態と使い方が多様化し、社内と社外の境界もあいまいになっています。DXの推進時、モダナイゼーション(システム構造の変革)に際しては、新しい情報インフラに合わせたセキュリティ対策が欠かせないのです。
第一歩は境界防御の見直し
新しいビジネス環境に適合するセキュリティ対策として、まず「境界防御」の見直しと強化が挙げられます。社内ネットワークとインターネットの境界にファイアウォールを設置し、境界の内側は安全と見なす境界防御だけでは、いまの企業ネットワークは守りきれません。
攻撃が先鋭化した近年は、企業システムへの侵入を100%阻止するのは困難とされ、個々の情報機器の単位でセキュリティを高める発想が必要です。その一つが「ゼロトラスト」という技術です。例えば、データベースへのアクセスに対しては、端末の位置と状態に関わらず、すべてを信頼(トラスト)せず、アクセス要求の度に認証を課します。
基盤はエンドポイントセキュリティ
もう一つのキーワードは、「エンドポイントセキュリティ」。
企業ネットワークを構成するPCやスマートフォン、業務端末、ストレージなどの機器をエンドポイントと捉え、個々のポイント単位で安全を確保する手法です。
エンドポイントセキュリティに対応した環境では、個々の情報機器に対して、攻撃の兆候を捉え、不審な動きをブロックするアンチマルウェア、エンドポイントからのデータ流出を防止する個人情報・機密データ保護、脆弱性が発生する要因をリアルタイムに検出する脆弱性チェックなどが機能し、企業ネットワークの安全性を高めます。
エンドポイントセキュリティ製品の機能の一例
(「ランサムウェア防止」の設定画面)
企業ネットワークのエリアが拡がり、サプライチェーンの一部としての稼働も日常化した現在、ゼロトラストやエンドポイントセキュリティは、自社とサプライチェーンの安全を守るため、あらゆる企業の運営に欠かせない基礎体力と捉えるべきでしょう。
“DX推進+情報セキュリティ”
DXに取り組んでいる組織の皆さまは、一度立ち止まってセキュリティの視点からシステムを精査し、ビジネス改革と安全確保の両立を前提に活動を行いましょう。