藤原 サイバーセキュリティと一言でいっても、歴史的に、データの機密性など情報セキュリティからスタートしているため、そのイメージが強く根付いてしまっている。
さらに、サイバーという言葉が付くためか、セキュリティ関連機器/サービスを提供するメーカーや提案するパートナー、利用するユーザー側でも、“守るべきものは自社のネットワークだ”という考えに凝り固まっている人がいる。
ネットワークの中にある機器やネットワークそのものが狙われるため、それはそれで正しいのだが、ネットワークの中にリスクがあるわけではない。ネットワークを守ることに注力しすぎてしまい、それ以外の要素を後回しにしたり、やるべきことではないと思ったりして、結局、適切な運用がされなくなるとせっかく対策を導入しても、形骸化してしまう。
われわれの製品も導入されてるのに、しっかりと運用されてないが故に、そのまま脆弱性が放置されて、せっかくセキュリティ対策として導入したものがきっかけで、サイバーインシデントが発生するということが起きている。
ビジネスの継続や本質的なリスクを考えた時に、やはり、そこからフィジカル空間、物理的な生産活動、それに携わる人たちまで影響することを考える必要がある。
われわれは組織、運用、技術、工場サプライチェーンという4つの要素が重要だと伝えている。
自社の資産としてしっかりルールを守って運用していくという姿勢がないと、せっかくの対策も形骸化の道をたどってしまう。また、運用だけあっても、責任者がいなければ、運用も形骸化してしまう。運用ルールを守らなければ何が起こるのか、教育もしなければならない。
それらはガバナンスがないとできない話なので、やはり組織の在り方が1丁目1番地となる。
佐々木 組織、運用、技術が工場の中であり、工場サプライチェーンは社外の話だと捉えることができる。
セキュリティ対策が本当のビジネスリスクの低減活動にひも付いていないと、活動を実施する組織を構成できない。具体的に言うと、人、もの、金が付いてこない。組織がないということは、責任者がいない、そこに仕事がないということになり、予算が付いてこない。何かに取り組もうとしても、どこがお金を出すかが問題になったり、OT-ids(侵入検知システム)を導入しても誰がメンテナンスを担当するのかで止まってしまったりする。
そこで外部に委託しても、外部からはその企業のビジネスリスクが何なのかが分からないため、アラートが出たことは教えてくれても、どんなビジネスリスクとひも付いているかまでは教えてくれない。
監視製品などの技術を入れても、組織、運用が伴わないとただの箱になって、脅威の入り口になってしまう。これは対策を進めようとしている人が陥りがちな落とし穴だ。自分たちではなかなか気付けない。
組織、運用をきちんとするためには、本来、工場のリスク低減が目的であり、工場の仕事の1つであるため、OT領域の人たちが主導権を握るべきであると理解をしないと、急に対策だけ始めても形骸化が容易に起こってしまう。
Copyright © ITmedia, Inc. All Rights Reserved.