では、A社におけるセキュリティ上の主な課題を列挙してみよう。
これらの課題について、それぞれ補足する。
①の課題は、一見、経営層にCISOを設置しているのだから良さそうにみえるが、前回も述べたように、欧米に比べると日本は専任のCISOの設置が少なく、CIOとの兼務であるため形骸化しているケースが多い。そもそも担当役員の中に、セキュリティが分かる人がおらず、仕方なく一番内容の近いCIOと兼務しているというのが実態ではないか。そうなると、情報システム部長に、実質的に法的責任(Liability)も実行責任(Responsibility)も押し付けられてしまい、セキュリティは「情報システム部」が推進する問題ということになってしまいがちだ。このあたりの機微は、かなり「人」依存なので、組織図だけで見ていてもわからないことが多いが、IT投資は、華やかなIoTやAI(人工知能)などのバズワードが並ぶのに対して、セキュリティは、地味で地道な取り組みなので、同じ人が兼務すれば、IT投資の方により力が入るのは人情というものだろう。
②の課題は、各事業部はプロフィットセンターであり、情報システム部はコストセンターであることによる相互の力関係に起因しているので、非常に根深い問題である。実際、筆者が知るほとんどの製造業の情報システム部は、全社セキュリティポリシーを策定しているが、これらを各事業部に徹底させることができている事業者は少ない。最近では、この課題を解決するために、事業部の人も参加する委員会的なものを作って、共同でセキュリティポリシーを策定しようという動きもあるが、事業部側の声に押されて、骨抜きポリシーとなってしまいがちだ。
③の課題は、もともと工場のセキュリティを軽視していたという事業者側の問題もある。しかし、OT(制御技術)セキュリティという分野自体が比較的新しいものである以上、OTを対象としたCSIRTやSOCの在り方が定まっていないことも要因の1つである。
ITを対象としたCSIRTについては、近年設置を行う企業が増えてきており※1)、CSIRTの構築や運用の在り方については、CSIRT協議会が書籍にまとめている※2)。しかし、OTのIT化が進み、OTでのセキュリティ事故対応の確立が急がれる現在においても、OT-SIRTやOT-SOCをどうするのかという課題については、各事業者が、それぞれの事業に合わせて試行錯誤を行っているのが現状である。
※1):急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点
※2):日本シーサート協議会 編著「CSIRT構築から運用まで」など
最後に、④の課題については、製品自体がIT化し、サイバー攻撃の対象となることで新たに生まれてきた課題であり、従来の枠組みで考えるならば、QC(Quality Control:品質管理)の新規課題として捉えるのが自然だろう。既に、製品のソフトウェアの脆弱性については、セキュアコーディング※3)の検証をQCの過程として組み込んでいる事業者もある。しかし、出荷後の製品の脆弱性ハンドリングやセキュリティ事故対応については、専門的な知見を要することもあり、ほとんどの製造事業者が未整備となっている。
数年前のように、ITとOTとが人的にもシステム的にも関連が少ない場合には、仮想の事業者A社の組織のように、セキュリティ対策は事業部ごとに行い、情報システム部はITシステムのセキュリティ管理を行うといった分担でも、それなりに機能したであろう。
しかし、近年のOTのIT化の進行により、OTセキュリティの重要性が増す中で、従来の組織体制では対応しきれない課題があることが今回の考察から分かる。次回は、この仮想組織をどう変革するのが良いのかについて、一案を示しながら考察してみよう。
Copyright © ITmedia, Inc. All Rights Reserved.