やはりイノベーションに完璧なセキュリティを求めるのはまちがっている。：事例で学ぶ製造業DXセキュリティ対策入門（7）（2/4 ページ）

[佐々木弘志，MONOist]

※本記事はアフィリエイトプログラムによる収益を得ています

リスクの優先順位付けから始めよう

　コーヒー片手に右肩を回しながら戻る井之辺さんを追いかけながら、工場のガイドラインについて古井課長と相談したことを思い出していた。そうだ同じことじゃないか。

井之辺さん、先ほどの話ですが。まず大前提として、納期を延ばすかどうかがあると思います。井之辺さんは絶対延ばせないとのことでしたが、本当に絶対ですか？

うーん、それは私には判断できないですよね。ただ、既に多くの農協からの発注がありますし、農作業の時季との兼ね合いがありますから、例えば1カ月遅れるだけでもビジネス的には大きな痛手になります。

なるほど。十分時間をかけてイチから見直すとビジネスが成り立たないというわけですね。その制約の中でのセキュリティ対策を検討する必要があると。

ええ、こんなこと言ったら怒られるかもですけど、確かにドローンの暴走によって、最悪、人身事故が起こることは理解するのですが、確率がとても低いように感じます。あ、もちろんヘルメットとか、安全対策徹底した上での話です。

　おいおい、前のラボでのドローン暴走をもう忘れたのか。とはいえ、まあ気持ちは分かる。

安全対策を徹底した上でというのが、まず皆さんの課題だと思うのですが。ただし、ドローンの暴走自体はバグが原因の場合もありますし、追加でセキュリティ対策したところでゼロにはならないし、広大な農地での作業なので、離着陸時の周囲の立入り管理ができればリスクを十分減らせるとも言えそうですね。

なるほど、通常の安全管理対策の範囲でカバーできるということですか。

はい、何も全てのリスク観点に対して「サイバーセキュリティ」の対策が必要なわけではないです。リスクを把握したうえで、何もしないでリスクを受容するというのも立派な対策ですよ。

何もしない……。大丈夫ですか、青井さん。コーヒー甘過ぎて、青井さんまで甘くなってませんか？

誤解を招くような言い方になってしまいましたが、単に何もしないのではなく「把握したリスクを受容できるのであれば」という条件付きで、そこが大事なんです。

　井之辺さん、不思議そうな顔をしているなぁ。ここは古井課長にならって例え話をしてみよう。

ところで、井之辺さんは、朝、家を出るときに天気予報は確認しますか？

いや、よほどじゃないと確認しないですね。万一雨が降っても、多少なら濡れてもいいですし、最悪傘を買います。そういうの面倒なんですよね。

つまりそれがリスクを受容しているということです。天気予報で大雨だと分かれば、傘を持って出ることで、後のコストを抑えることができますが、井之辺さんは、面倒でないことを優先して、雨のことは分かった上で、発生するコストは仕方ない、受容できると考えているわけです。

なるほどそういうことですか。では、例えば、このホワイトボードにある「クラウド上のドローンの軌跡データ、農薬散布量の消失・改ざん・漏えい」については、われわれの管理データに関する問題なので、人がケガするとか、顧客の個人情報に比べれば優先順位は低いと。

そうですね。考え方としてはその通りです。洗い出したリスク観点への対策を考えるより前に、ビジネスリスクに応じた優先順位付けの判断をやるべきなんです。

なるほど、それなら私でもできそうです。最終的な経営判断は別として、システムのことを理解したうえでのリスク優先順位の検討は私のチームでしかできないことが多いですね。

そのリスク判断は、要は、自己判断、自己責任の世界です。セキュリティ専門家はセキュリティ上のリスクを教えてはくれますが、リスク対処の正解を教えてくれるわけでないんです。

では、このホワイトボードにあるリスク観点について、まずは私の方で整理して優先順位をつけてみます。

そうですね。その上で、外部専門家の力を借りながら、具体的な対策を検討したいと思います。優先順位を基にどこまでやるか、またはやらないかを一緒に考えましょう。その上で経営層にリスク判断してもらいます。

少し気が楽になりました。ここに挙がっている観点全てに、何かしらのサイバーセキュリティ対策をしないといけないと思っていたので。そうなったら、プロジェクト崩壊ですから。

それは良かったです。さっきたくさんウロコが落ちてたので、もうこれ以上崩壊しないとよいですね。

ほんとそう願います。塩塗られるのは困るので。

　最初はどうなることかと思ったけど、井之辺さんもサイバーセキュリティについて分かってくれたようで良かった。