ITとOTの組織連携はどうすれば進められるのか：IoT時代の安全組織論（2）（1/2 ページ）

製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第2回は、製造業にとって重要なIT（情報システム）とOT（制御システム）の組織連携の進め方について説明する。

[佐々木 弘志 ／ マカフィー，MONOist]

はじめに

　前回の考察で、IoT（モノのインターネット）時代においては、IT（Information Technology：情報システム）とOT（Operational Technology：制御システム）間の「システム」及び「運用」の連携が進むため、安心・安全を確保するためには、これまで以上にITとOTとの「組織面」での連携が重要であることを確認できた。今回は、ITとOTとの組織面の連携を進める上での課題を抽出し、どのように組織面の改善・変革に取り組んでいったら良いかについて、具体的な例を挙げながら紹介する。

ITとOTとの組織面の連携における課題

　製造業に関わらない方にとっては、同じ会社の部門間で連携するのに、そもそも課題などあるのかと思われるかもしれない。しかし実際は、どこでヒアリングをしても、真っ先に問題に挙がるほどの難題である。筆者がこれまでヒアリングしてきた結果、その課題はおおむね以下の4点に集約される。

• ①OTセキュリティがそもそも経営問題ではないため、経営資源が十分に投入されず、中長期の計画もない
• ②ITとOTは、そもそもの「文化」が異なるため、セキュリティに対する対話が成立しにくい
• ③実際に利益を生み出すOT部門の方が、社内的な力が強い。IT部門が手を出しにくい
• ④大きな会社では、分野の違うOT部門が複数あるが、統一的なセキュリティポリシーを策定することが難しく、現場任せになっている

　これらの課題を順に解説していこう。①については、OT部門におけるサイバー攻撃というものが、そもそも経営課題として認識されていないことを意味する。とはいえ、2017年5月に起こったランサムウェア「WannaCry」の工場への感染事例をみても、今後IoT時代に向けて、工場が攻撃される機会が増加することは明らかだ。しかし、仮に工場が止まったとしても、大した損害ではないと捉えている経営層が多い。

　従って、組織を変えるような全社的な対策にはならず、セキュリティ対策については各事業部、工場の裁量で判断しなさいとなってしまう。このため、どうしても、予算の範囲内の場当たり的な対策を各部門が実施するといった応急処置の対策にならざるを得ない。

　しかし、今後、OTのIT化が進むにつれて、OTへの攻撃も多様化し、単に操業停止させるだけでなく、重要データ（生産情報、レシピなど）の窃取や、製品品質の低下、生産情報の改ざんなど、会社の経営を脅かすようなものが増えていくと予想される（図1）。現実に起こってからでないと脅威を認識できないのが、現状の多くの経営層の実際のところだろうし、なかなか解決が難しい課題である。

図1　工場におけるサイバーセキュリティリスク例（クリックで拡大） 出典：マカフィー

　②は、ITとOTの相性がそもそも悪く、使う言葉と価値観の違いによって起こる問題である。経営層からの支持を得たとしても、この問題は避けては通れない。③、④は会社内のパワーバランスの問題であり、個社ごとに程度こそ違うものの、製造業では良く聞く話である。このパワーバランスの存在が、IT部門とOT部門の連携を妨げる大きな要因となっている。