では、このような課題を解決して、ITとOTの組織面での改善・変革を進めるには、どのようにしたら良いのだろうか。その進め方の大まかな手順を示したのが図2である。
まず、真っ先に必要なのは経営層の理解である。課題①でも述べたように、そこを変えないと何も始まらない。経営層の理解の上で、予算化・事業戦略を立てることで、全社的な組織の変革・改善につながる。
この段階で、②〜④の課題についても取り組むことになる。うまくいけば、社内でのセキュリティに関するキャリアパスが確立され、「セキュリティ担当者」の社内での地位が確立される。結果、人材も育成できるし、その人材が適切な対策ソリューションを導入することで、その会社のセキュリティの防御レベルも向上する。
防御レベルが向上すると脅威が可視化されるので、それを基に現状のリスク分析を正しい精度で行うことができる。その結果を「正しい現状認識」として、経営層に戻すことで、課題①の経営層の理解が深まり、次の施策に反映されることで、課題②〜④のさらなる改善にもつながるのである。
このループを社内で回し続けることで、社内におけるセキュリティ文化が醸成され、組織が一体となって、セキュリティ対策に取り組む体制が出来上がるのだ。
最初のステップとして、課題①をどうやって解決するのかが問題となる。海外の電力業界などの重要インフラ業界では、政府や民間業界団体からの「規制」が1つの大きな解決手段となっている。なぜなら、規制違反は経営問題であり、経営層が責任をもって対処しなければならないものだからだ。しかし、重要インフラのように国の社会生活に影響を与えるような業界とは異なり、製造業界向けのセキュリティ「規制」は聞いたことがない。従って、別の方法を考える必要がある。
例えば、マカフィーで実際に取り組んでいる例として、「経営層向けのサイバーセキュリティ演習」がある。詳細は次回とするが、要は、経営層にOTセキュリティをリスクとして認識させるのは、座学のようなセミナー形式ではなく、実際に体験してもらうのが一番だということだ。特に、経営層の謝罪会見まで模擬すれば、かなりの効果となるだろう。課題②〜④は、個社ごとに解決方法が違うのだが、解決のポイントは、「共通のビジネス目標、言語および体験」である。これも次回以降に詳しく紹介したい。
ここまでの考察で、IoT時代の安心・安全を確保するために、ITとOTの組織面での改善・変革をどのように進めたら良いのかについて、課題の抽出から、その解決の手順までの大まかな流れを簡単に説明した。次回以降は、もう少し、各ステップを掘り下げて、具体的に何をすべきかについて詳しく紹介していく。
Copyright © ITmedia, Inc. All Rights Reserved.