日立製作所が、2020年11月8〜6日に開催したオンラインイベント「Hitachi Social Innovation Forum 2020 TOKYO ONLINE」に、医療機器大手のオリンパスが登壇。同社 執行役員 CISO(最高情報セキュリティ責任者)の北村正仁氏が、2019年4月に発足した新たなセキュリティ組織の体制やPSIRT構築などについて説明した。
日立製作所(以下、日立)が、2020年11月8〜6日に開催したオンラインイベント「Hitachi Social Innovation Forum 2020 TOKYO ONLINE」に、医療機器大手のオリンパスが登壇。「オリンパス株式会社がめざす製品セキュリティ〜業界をリードするグローバル対応の取り組み〜」をテーマに、同社 執行役員 CISO(最高情報セキュリティ責任者)の北村正仁氏が講演を行った。本稿は、同氏の講演内容に、別途行ったインタビュー取材の情報を追加して構成した。
さまざまな製品がネットワークにつながることによって多様な可能性が生み出されるIoT(モノのインターネット)。モノを開発、製造して販売してきた製造業にとってIoTの活用は、モノ売りにとどまらない事業拡大に向けて重要な役割を果たすことが期待されているが、そこで最も大きなリスクになるのがセキュリティである。IoT機器を狙うサイバー攻撃は年々増加しており、総務省の調査によるとIoT機器へのサイバー攻撃の件数は、2015年と比べて2018年には3.9倍まで拡大しているという。
さらに、国や地域がIoT機器へのセキュリティ対策の導入を義務化するような規制の策定も進みつつある。米国の食品医療品局(FDA)による医療機器の安全認証や、国連のWP29による自動運転車を前提としたセキュリティ規則の策定が進んでおり、2020年には米国のカリフォルニア州やオレゴン州、EUが一般消費者向けを含めたIoT機器の法規制を施行している。日本でも、電気事業通信法の改正でIoT機器のセキュリティ要件が追加された。
急増するIoT機器へのサイバー攻撃と規制の強化もあいまって、製造業はIoTセキュリティに対する取り組みを進めることが求められている。特に、IoT機器へのセキュリティ技術の導入と並んで重要な役割を果たすとみられるのがPSIRT(Product Security Incident Response Team)だ。ITシステムのセキュリティに対応するCSIRT(Computer Security Incident Response Team)との両輪で、製造業のセキュリティリスク管理を担う組織となる。
2019年4月から、このPSIRTを含めたセキュリティ組織の抜本的な改革を進めているのがオリンパスだ。新社長に竹内康雄氏が就任して「グローバル・メドテックカンパニー」への飛躍を目指す新たな経営体制となるとともに、創業100周年を迎えるタイミングでもあった。この新体制で、次の100年に向けた動きの一環として、社会課題になっていたサイバーセキュリティを強化する方針となり、そこで全社の情報セキュリティを統括するCISOに就任したのが北村氏である。
2019年4月以前のオリンパスのセキュリティは、ITセキュリティはIT部門が、医療機器をはじめとする製品のセキュリティは事業部の品質管理部門が、インシデント対応は内部統制部門が対応する体制をとっていた。北村氏は「本来は、ITセキュリティ、製品セキュリティ、データ保護という3つの活動領域を束ねて対応すべきだが、以前はこれらが別々の組織になっていたのが実情だった。しかし、製品そのものがIoT化してAI(人工知能)も入ってくるこの事業変革期においてサイバーセキュリティのリスクは高まっている。新体制では、CISOの下で3つの領域を相互に連携して統合的な対応をとれるようにした」と語る。
これら3つの活動領域と、「ビジネスセキュリティ」「セキュリティガバナンス&コミュニケーション」「ゼロ・トラスト・アーキテクチャ」という3つの重点施策を2つの軸とするフレームワークが新体制の情報セキュリティ戦略であり、その名称は「Customer Centric Security」となっている。顧客中心を意味する“Customer Centric”を名称に採用した理由は「情報セキュリティと言えばITセキュリティという先入観を打破するため」(北村氏)だという。
ITセキュリティだけを見ると社内を守る、会社を守るというスタンスになってしまい、どうしても“Company Centirc”になってしまう。それももちろん重要なことだが、新体制が目指す情報セキュリティ戦略では、顧客と顧客のデータを守ることを重視している。その象徴として掲げたのがCustomer Centric Securityという名称というわけだ。
また、CISOである北村氏の下でグローバルなセキュリティ体制も構築している。本社を置く日本だけでなく、米州、欧州、アジアオセアニア、中国の5地域において、先述したセキュリティの3つの活動領域をそれぞれ担当する責任者を配置しており、縦横に連携する体制を整えつつある。
「グローバル・メドテックカンパニー」を掲げるオリンパスの主力事業は、世界シェアトップの内視鏡をはじめとする医療機器である。2020年3月期の売上高7974億円のうち、内視鏡事業が53%、治療機器事業が27%を占めており合計で80%に達する。
これらの医療機器が院内のネットワークとつながるとともに、病院がクラウドなど院外のシステムとつながる動きが同時並行的に進んでいる。北村氏は「病院のシステムのうち電子カルテなどのデータの格納先は院内サーバからクラウドへ移行しつつある。一方、病院の中にある各種医療機器は病院のシステムにつながるようになっている。例えばCT画像は電子カルテとひも付いているし、かつてはUSBメモリを使っていたデータの受け渡しはネットワーク経由になっている」と説明する。
さらに医療機器はAIを機能の一部として取り込みつつある。このAIを生かすためには患者データが重要になるが、その取り扱いについてもプライバシーやセキュリティを含めて慎重な対処が必要だ。「もはや内視鏡などの検査機器は良い画像を撮るだけでは済まなくなっている。高性能なカメラを開発するだけでなく、データ分析して見せなければならない。その分だけ利便性も高まるが、同時にリスクも高まるわけで、セキュリティの新体制の整備は急務だった」(北村氏)。
Copyright © ITmedia, Inc. All Rights Reserved.