日本を代表する百戦錬磨のCIO/ITリーダー達が、一線を退いてもなお経営とITのあるべき姿に思いを馳せ、現役の経営陣や情報システム部門の悩み事を聞き、ディスカッションし、アドバイスを贈る──「CIO Lounge」はそんな腕利きの諸氏が集まるコミュニティである。本連載では、「企業の経営者とCIO/情報システム部門の架け橋」、そして「ユーザー企業とベンダー企業の架け橋」となる知見・助言をリレーコラム形式でお届けする。今回は、CIO Lounge正会員メンバーの藤城克也氏からのメッセージである。
[Focus] これからのセキュリティ戦略OT(制御系)セキュリティに対する取り組みの重要性は、大手製造業にかぎらず、中堅製造業や製造業以外の設備産業にも共通です。ITセキュリティを充実させてもOTセキュリティに手が回らなければ、“頭隠して尻隠さず”ですし、攻撃者は対策が甘いところを狙うからです。実際、2022年には大手自動車メーカーの部品サプライヤーがサイバー攻撃を受けて操業に影響が生じるという事案もありました。
皆様の勤務先では、どのようにOTセキュリティ対策を講じているでしょうか。もし、まだ適切な対策を講じていないという状況でしたら、以下のステップに沿って取り組んでいただくとよいと思います。ITセキュリティも同じですが、オーソドックスではあってもきちんと手順を踏んで進めることが結果的には早道であると考えるからです。
①経営陣の理解
OTセキュリティについて、まずは経営陣の理解を得ることが不可欠です。しかし、OTセキュリティには馴染みがなく費用などもかかるので、ITセキュリティよりも理解を得ることが難しい面があります。そこで同業他社ですぐれた対策を行っているところがあればその情報を報告したり、それができなければ、OTセキュリティの全般動向を報告するといいでしょう。
また、取引先や国からの要請がある場合は特に効果的です。例え仮定の話でも工場の操業停止やサプライチェーンへの影響などを想定し、具体的な損害内容や想定損害額を報告するのもよいかもしれません。IT/OTの両面におけるセキュリティ対策が企業にとって重要なガバナンス対策であることを理解してもらうことが必要です。
②製造部門との調整
次のステップは製造部門との調整です。製造部門は生産性向上やコストダウンには関心がありますが、セキュリティへのそれは薄く、時には"価値を生まない金食い虫"と認識している場合もあります。本社のIT部門はOTのことは管轄外である一方、製造部門はITセキュリティへの問題意識がありませんから、筆者の経験上、OTセキュリティの責任を押しつけ合うことも起きます。
費用をどこが負担するのかも問題になります。これに関しては個々の企業によって異なりますので正解はありませんが、本社IT部門が責任部署となり、製造部門が日々の運用を行い、費用負担をする形でIT部門長と製造部門のトップや工場長が握るのが妥当だと考えます。どのように役割分担するにせよ、製造部門が主体的にOTセキュリティに取り組むことを優先することが大事です。
③問題の明確化
体制ができたら、OTセキュリティ上の問題点を明確にすることに取り組みます。外部の有識者やコンサルタントに依頼するとポイントを把握しやすいですが、費用がかかります。自社で取り組む場合は、経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」や、一般社団法人JPCERTコーディネーションセンターの「J-CLICS STEP1/STEP2(ICSセキュリティ自己評価ツール)」を活用するとよいと考えます。
これらは一長一短がありますので、自社の状況に応じて使い分けされることをおすすめします。なお問題の明確化において重要なことは当然ですが、IT部門と製造技術部門や設備担当部門が協力することです。
●Next:外部からの攻撃、内部からの漏洩、インシデント発生時─あらゆる可能性への対応策を
会員登録(無料)が必要です
- 情報セキュリティは経営者が率先して取り組むべき(2024/09/03)
- グローバル企業に求められる各国・業界の情報セキュリティ規制とは?(2024/07/23)
- 「セキュリティをIT部門から分離」─セキュリティ専任組織の3つの役割とメリットとは?(2024/07/11)
- 仲間を集めて広げる草の根活動─“古野電気流”の生成AI活用法(2024/06/25)
- IT人材不足問題を考える(2024/06/06)
