ゼロから始めた製造業DXセキュリティ、若手担当者に成功の秘訣を聞く:製造業DXセキュリティ
製造業がDXを進める中で取り組みが遅れがちなサイバーセキュリティ対策だが、国内中堅化学薬品メーカーのABC化学薬品(※)は、若手担当者を抜てきすることで成功を収めつつある。そこで、フォーティネットジャパンの佐々木弘志氏が、この「製造業DXセキュリティ」におけるプロジェクト成功の秘訣を聞いた。
製造業でもDX(デジタルトランスフォーメーション)に向けたさまざまな取り組みが進んでいるが、AI(人工知能)やIoT(モノのインターネット)といったデジタル技術を積極的に導入する際に、併せて必要になるのがサイバーセキュリティ対策だ。
ただし、コスト削減や売上高アップという形で価値が見えづらいサイバーセキュリティ対策はどうしても取り組みが遅れがちになる。この製造業がDXと併せて進めるべき「製造業DXセキュリティ」で成功を収めつつあるのが、国内中堅化学薬品メーカーのABC化学薬品だ。
そこで、同社の製造業DXセキュリティをけん引した青井葵氏に、コンサルタントとして一部取り組みを支援したフォーティネットジャパン OTビジネス開発部 部長の佐々木弘志氏がプロジェクト成功の秘訣を聞いた。
(※)本記事に登場するABC化学薬品と青井葵氏は、フォーティネットジャパンの佐々木弘志氏がMONOistで執筆した連載記事「事例で学ぶ製造業DXセキュリティ対策入門」に登場する架空の企業と人物です。
DXセキュリティ担当になった背景、当初の戸惑い
佐々木弘志氏(以下、佐々木) こんにちは、今日はわざわざご来社いただきありがとうございます。IoTドローンのセキュリティリスク評価のコンサルティングではお世話になりました。
ABC化学薬品の青井葵氏青井葵氏(以下、青井) こんにちは。こちらこそご支援いただきありがとうございます。おかげさまで順調に対策が進んでいます。
佐々木 それは何よりです。今日は、青井さんが担当されたDXセキュリティプロジェクトの振り返りをしながら、その成功の秘訣について議論させていただければと思います。
青井 はい、国内のDXセキュリティ対策の計画は一段落つきまして、現在は実行段階に入っています。本日の機会を利用して、私自身の頭の中の整理になればと考えています。
佐々木 承知しました。では早速、始めましょう。そもそもの始まりなのですが、青井さんは、いきなり全社のDXセキュリティプロジェクトのリーダーを社長から丸投げされたそうですね。
青井 はい、上司の古井課長に連れられ社長室に呼ばれて、突然全社のDXセキュリティプロジェクトのリーダーを任されることになったんです。
フォーティネットジャパンの佐々木弘志氏佐々木 それまでもセキュリティのお仕事をされていたんですか?
青井 はい、でも社内の通常のITセキュリティに関する問い合わせ対応だったので、リーダー的な仕事は初めてでした。
佐々木 どうして青井さんが選ばれたんでしょうか。入社6年目とお伺いしたのですが、リーダー経験もないのに、荷が重いですよね。
青井 本当にそうなのですが、DXセキュリティ対策を進める上で、相手の事情を理解した上で対策を提案する共感力が必要で、課長によると私がそれに向いていると。
佐々木 確かに、セキュリティ問い合わせ対応には共感力が必要だと思いますが、それにしても大抜てきに感じます。
青井 社長の方針で、旧弊にとらわれない若いリーダーを育てるというのもありました。後は、私がラノベ好きだというのを課長が知っていたのが大きかったみたいです。
佐々木 ラノベですか? 油断するとすぐ異世界に転生しちゃう印象がありますが。
青井 そうなんです! 異世界モノが好きだから共感力があるだろうって。むちゃくちゃですよね。
佐々木 アハハ。そんな理由だったんですか。面白い課長さんですね。
青井 ただ、今から思えば、私の武器を見抜いていただいていたんだなと思います。実際、工場やIoTのセキュリティ対策では、共感力なしには乗り切れなかったですから。
工場DXセキュリティ導入の実践
佐々木 なるほど。そうやってリーダーになった青井さんが最初に取り組んだのが、工場のDXセキュリティプロジェクトだったそうですね。
青井 はい、でも最初は全然うまくいきませんでした。工場の皆さんから出直してこいと言われたんです。
佐々木 それは大変でしたね。何か認識の相違でもあったのでしょうか。
青井 はい、言葉の違いとか、プロジェクトの進め方に対する文化の違いで、こちらの意図がうまく伝わらなかったのです。
佐々木 何だか外国の話のように聞こえますが、国内の工場ですよね。
青井 はい、私がキックオフで、FW(ファイアウォール)とかIPS(侵入防護システム)とかITの専門用語を説明なしに資料に書いていたのと、取りあえずの「たたき台」というのが、生技(生産技術)の皆さんの進め方の文化に合わず、拒絶反応につながったみたいなんです。
佐々木 ああ、IT略語は知らない人にとっては呪文ですもんね。ただでさえ分からない上に、不十分な検討結果をもってこられても困るということでしょうか。
青井 そうですね。後から伺ったら「安全・納期・品質・コスト」のような工場のゴールの達成を阻害するかもしれないセキュリティ対策にはそもそも拒否反応があったそうです。
佐々木 確かにそういう話は私もよく聞くのですが、その状態からどうやってプロジェクトを前に進めたのですか?
青井 元工場長だった上司の課長にアドバイスをもらって、まずは、工場の言葉や文化を学んでそれに合わせてセキュリティ対策を説明するところから始めました。
佐々木 なるほど、青井さんから工場の文化に歩み寄ったわけですね。それは確かに共感力が必要です。
青井 なぜセキュリティ対策が必要なのかを、工場目標にひも付けて丁寧に説明しました。おかげで生技の皆さんが協力してくれるようになりました。
佐々木 それはうれしいですね。では、そこからスムーズに対策が進んだと。
青井 いえいえ、全然そんなことないです。一番苦労したのは、どうやったらサイバーセキュリティを工場の現場担当者に自分事として捉えていただけるかでした。
佐々木 それは難しそうです。ITに詳しくない人たちにサイバーセキュリティの話は難しいですしね。
青井 はい、なので、工場の皆さんの自分事である「安全教育」や「改善活動」の中にサイバーセキュリティを溶け込ませていくような施策を取りました。
佐々木 なるほど。ついついサイバーセキュリティ対策を特別扱いしてしまいがちですが、それは面白い取り組みですね。具体的にはどのような施策をとったのですか?
青井 例えば、USBメモリの取り扱いなど、基本的なサイバーセキュリティ教育をしたあとで、工場の安全標語コンテストを、サイバーセキュリティをテーマに実施しました。
佐々木 ああ、安全標語ってありますよね。確かにサイバーセキュリティでもいろいろ考えられそうです。
青井 この安全標語コンテストをきっかけに、現場の皆さんも含めて、セキュリティ対策実施に向けた一体感が生まれてきた気がします。
佐々木 まさに共感力ですね。大変参考になりました。
青井 いえいえ、実はここからが大変だったんです。
佐々木 え、そうなんですか?
青井 経営層向けの予算取り説明会の準備が大変だったんです。私はリーダー経験がなかったので、どういうまとめ方をしてよいのか分からず苦労しました。
佐々木 確かに、工場の魔物を倒したと思ったら、ラスボスがいたみたいな感じですね。
青井 おかげさまで、優秀なパーティー仲間に恵まれたので、無事にクリアはできたのですが、特に、リスクに応じた費用感の説明とガイドラインの使い方に苦労しました。
佐々木 アハハ! パーティー仲間って課長のことですよね。で、リスクに応じた費用感の説明とはどういうことでしょうか。
青井 もしセキュリティ事故が発生した場合に、どれくらいの被害の可能性があるのかを、経営層に定量的に説明する必要がありました。ただ「世の中でサイバーセキュリティ事故が起きています」では、経営層の自分事にならないので。
佐々木 経営層に理解してもらうということは、工場に限らずサイバーセキュリティ全体の問題でもありますよね。
青井 今回は、対策をしなければ○○億円の損失が起こる可能性があるが、対策をすることによって、それが低減できますよというシミュレーションを見せることで、理解を得ることができました。
佐々木 それは参考になる説明の仕方ですね。あと、もう1つの「ガイドラインの使い方」ですが、最近は国内外でセキュリティ規制やガイドラインの策定が進んでいます。その対応ということでしょうか。
青井 はい。ただ、まだ世の中的な標準がないので、私なりにガイドラインを探して、適合するための説明を検討していたのですが、これが沼でして。
佐々木 沼? また身動き取れなさそうなトラップですね。
青井 そうなんです。ガイドラインには、正解が書いてあるのでその通りにしないといけないと思っていたのですが。セキュリティ対策の場合は、リスクに応じた対策の度合いを自分で考える必要があったのです。
佐々木 確かに。日本は特に、ガイドラインを順守するあまり、リスク低減という本来の目的を忘れてしまうケースをよく見かけるので、とても参考になるお話ですね。
新製品開発におけるIoTセキュリティの導入について
佐々木 続いて、私も少しお手伝いさせていただいた、IoTドローンのセキュリティ対策について少し振り返っていきたいと思います。製品開発リーダーの井之辺さんと協力して進められていたと思うのですが、こちらも苦労がありましたか?
青井 はい、井之辺さんは、最初、自分たちの製品に「セキュリティ対策は不要」と断言されたんです。
佐々木 えー! そうなんですね。それはまた極端ですね。
青井 ええ、「イノベーションの阻害要因」だと。工場の人たちとは真逆で、リスクを冒して前に進まないとビジネスに勝てないので、ムダを極力省きたいという考えでした。
佐々木 それはまた文化が大きく違いますね。
青井 はい、ただ、井之辺さんは単純にセキュリティの知識が足りなかっただけで、分からず屋というわけではありません。実際、ドローンのセキュリティ評価を佐々木さんと議論したあと、指摘されたセキュリティ課題に全部対策しないとって頭を抱えていましたから。
佐々木 アハハ! それはさっきと真逆ですね。
青井 そうですね。IoT製品のようにコストや納期が厳しいものは、リスク評価による優先順位をつけることが重要で、対策なしでリスクを受容するのも立派な対策だとお話ししたら、ひと安心されていました。
DXセキュリティ担当としての感想と、今後の海外出向への抱負
佐々木 では最後に、このプロジェクトによって得られたことと、これからの抱負について伺いたいと思います。
青井 はい。やはり一番の成果は、多様な能力を持った人たちが、組織の壁を超えて、相互理解の下で協力してビジネスを進めることが、これからのABC化学薬品に重要だと体験できたことです。
佐々木 確かに、青井さんはその共感力で、多様な考え方や能力を持つ人をつないで、新しい取り組みを生み出しているように感じました。
青井 はい、社長からも、今後のDX進展の中で、各部門の最適化ではなく、会社全体で協力してビジネスを進めるための「中核」の一人になることを期待されています。
佐々木 なるほど。DXの進展で、ビジネス戦略が部分最適から全体最適へと移行するための潤滑油となる人が重要ということですね。
青井 はい。その通りです!
佐々木 それにしても、いきなり海外出向と聞いて驚きました。抱負を聞かせてもらってよいですか?
青井 海外ではもっと大きな文化の違いがあると思いますが、自身の共感力を生かして、会社全体のビジネスリスクの低減に貢献したいと考えています。
佐々木 青井葵の異世界成長物語の新章開幕ですね。さらなるご活躍を期待しています。
青井 ありがとうございます!
なお、2022年9月7日(水)から9日(金)にオンラインで開催される「Secure OT Summit 2022」では、本記事インタビュアー佐々木弘志氏をはじめ、工場や重要インフラのセキュリティ担当者が「明日から取り組めるOTセキュリティ対策の第一歩」についてディスカッションする。ぜひ、イベントにも参加してほしい。
連載「事例で学ぶ製造業DXセキュリティ対策入門」
中堅化学薬品メーカーのABC化学薬品に勤める新卒入社6年目の青井葵。彼女はいきなり社長室に呼ばれ、社内DXセキュリティプロジェクトチームのリーダーに任命される。それまで社内のセキュリティ問い合わせ担当だった青井にとって、これはいきなり荷が重すぎる! 元工場長の変わり者、古井課長の支援の下、果たしてプロジェクトの命運はいかに!?
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
提供:フォーティネットジャパン合同会社
アイティメディア営業企画/制作:MONOist 編集部/掲載内容有効期限:2022年8月25日
ITmediaはアイティメディア株式会社の登録商標です。