　ランサムウェア攻撃では、そもそも内部ネットワークのセグメンテーションがうまくできておらず、複数サーバ間で一気に感染が広がるというケースも少なくない。2017年に世間を騒がせたWannaCryの事件でも、海外グループのサーバがやられて、そこから一晩のうちに全世界のグループ各社に感染が広がったという例がある。セグメンテーション分けを怠ると、1箇所の被害が全体へと急拡大してしまう。

　私自身、これまで製造業は工場のセキュリティを注意すべきだと訴えてきた。しかし最近の事例を見ると、実際には工場以外のセキュリティも非常に重要なのだと痛感した。本社のシステムと工場内の事務系作業のシステムがしっかり分離されておらず、侵入口として狙われる事例もある。オンプレミス環境か否かを問わず、顧客管理データや販売データ、事務データ、それらのバックアップデータが全てやられてしまう。取引管理系のサーバやファイルサーバが被害を受けて、取引ができない状況になってしまった事例が国内でも存在する。対策として、ファイアウォールで内部を仕分ける、マイクロセグメンテーションを行う必要がある。

MONOist　バックアップデータ管理のポイントは何でしょうか。

扇氏　バックアップの保護という観点で言えば、問題となるケースは大きく分けて3つ想定できる。1つ目はインターネット接続機器やVPNなどからの侵入を防ぎきれていない場合、2つ目は先述のマイクロセグメンテーションが不十分である場合だ。

　そして3つ目が、バックアップを震災などの災害対策としてしか考えられていない場合である。地震などの自然災害への対策としてのみ想定していると、1箇所だけでなく、東京や大阪など複数拠点でデータを管理すれば安全だ、という考えしか浮かばない。しかしこれでは、ランサムウェア攻撃への対策になっていない。ネットワークでつながっているにもかかわらず、バックアップシステム自体のランサムウェア感染リスクが考慮されていないことなど、問題が放置されたままの状態になっている。

セキュリティ推進の鍵はいかに「よろこび」を与えるか

MONOist　ランサムウェア攻撃への対応をはじめ、製造業はセキュリティ対策をどのように進めるべきですか。

扇氏　セキュリティ対策をIT部門に任せきりにせず、経営戦略として捉えて取り組む必要がある。プロダクトやサービスの生産拠点やサプライチェーン全体をIT部門だけで守ることは難しい。特に、中小以下の規模の企業のIT部門は対策を取れといわれても何もできない。

　反対に現在、大企業を中心として効率的にセキュリティ対策を推進するためDX（デジタルトランスフォーメーション）推進部門と連携する、セキュリティの会議にリスク管理に関係する経営企画部門を参画させる、といった試みが進んでいる。IT部門の出番は「何をやるのかを決めた後」だ。もちろん、セキュリティ上の課題に最初に気付くこともあるだろうが、リスク要因を自部門だけでコントロールできるわけではない。ゼロトラストセキュリティが普及し始めた時点から、IT部門だけでの対策には限界が出てきた。

　この他、サイバーセキュリティのインシデント対応組織であるCSIRT（シーサート）を作っただけで安心する、ということも避けなければならない。世の中には「一人CSIRT」もあると聞くが、セキュリティの脆弱（ぜいじゃく）性を把握し、対策や運用を回していくなどという作業は1人ではできない。

　また、日本国内では認知度がまだ低いが、製品やサービスのソフトウェアセキュリティ対策を行うPSIRT（ピーサート）の設置も大事だ。

MONOist　DX推進部門との連携が進んでいるという話がありましたが、なぜでしょうか。

扇氏　DX推進部門は社内横断的な取り組みができる組織なので、セキュリティ対策もそれに絡めて進められるという側面がある。だがそれよりも、DX推進を通じて社内に「よろこび」を与えられる組織であることが大きい。DXの実現で何が良くなるか、新しい施策にどういうメリットがあるかを示せる。このように示していく姿勢がないと、いつまでたっても、「セキュリティ対策＝コスト」という認識で社内が固まったままになってしまう。

　その意味ではリモートワークの普及は、ゼロトラストセキュリティを実施しやすくした面がある。VPNに頼らない接続方法を提供することで、セキュリティ対策を実施してグローバルでどのような場所からでも、誰もが同じ情報に安全にアクセスして快適に会議もできるという「よろこび」を与えられる。セキュリティ対策推進の原動力に「よろこび」を据えなければ、OTやITに加えて、サプライチェーン全体と広範な対象をカバーすることは難しいだろう。

⇒その他の「製造マネジメントインタビュー」の記事はこちら

⇒連載「事例で学ぶ製造業DXセキュリティ対策入門」のバックナンバーはこちら
いきなり社長に呼ばれたらDXセキュリティ対策を丸投げされた件
中堅化学薬品メーカーのABC化学薬品に勤める新卒入社6年目の青井葵。彼女はいきなり社長室に呼ばれ、社内DXセキュリティプロジェクトチームのリーダーに任命される。それまで社内のセキュリティ問い合わせ担当だった青井にとって、これはいきなり荷が重すぎる！　元工場長の変わり者、古井課長の支援の下、果たしてプロジェクトの命運はいかに!?
社内にマルウェアが常駐する製造業、セキュリティ対策は何から始めるべきか
製造業を取り巻くサイバー攻撃の脅威が増している。サイバーセキュリティ対策を講じる上で意識すべきポイントや課題点は何か。日立ソリューションズセキュリティマーケティング推進部部長の扇健一氏に話を聞いた。
冴えない工場セキュリティガイドラインの育てかた
社内DXセキュリティプロジェクトチームのリーダーに任命された、ABC化学薬品新卒6年目の青井葵。元工場長の変わり者、古井課長の手助けも得て、製造業がDXプロジェクトと併せて進めるべき「DXセキュリティ対策」を推進していく本連載。今回は、ピンとこない工場セキュリティのガイドラインをどのように使いやすいものにしていくかを考える。
「NIST SP 800-171」で国内産業のサイバーセキュリティ対策はどう変わるのか
ランサムウェアなどによるサプライチェーン攻撃のリスクが高まる中、「NIST SP 800-171」への注目度が増している。同セキュリティガイドラインは国内産業にどう影響するのか、トレンドマイクロの担当者に話を聞いた。
CIPが取り組む産業基盤でのセキュリティ対策
CIP（Civil Infrastructure Platform）は、Linux FoundationのOSSプロジェクトであり、その目的の1つは産業グレード機器に対して長期的なサポートを達成することです。「いまさら聞けないCIP入門」の後編では、IoT時代を迎えて産業機器にも求められるセキュリティにCIPがどのように対応しているのかについて説明します。
製造業とサイバーセキュリティ
MONOistに掲載した主要な記事を、読みやすいPDF形式の電子ブックレットに再編集した「エンジニア電子ブックレット」。今回は、2021年3～6月にかけて掲載した、製造業に関わるサイバーセキュリティの主要ニュースをまとめた「製造業のサイバーセキュリティ」をお送りします。