ITとOTの組織連携はどうすれば進められるのか：IoT時代の安全組織論（2）（2/2 ページ）

製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第2回は、製造業にとって重要なIT（情報システム）とOT（制御システム）の組織連携の進め方について説明する。

[佐々木 弘志 ／ マカフィー，MONOist]

ITとOTとの組織面の改善・変革を進める手順

　では、このような課題を解決して、ITとOTの組織面での改善・変革を進めるには、どのようにしたら良いのだろうか。その進め方の大まかな手順を示したのが図2である。

　まず、真っ先に必要なのは経営層の理解である。課題①でも述べたように、そこを変えないと何も始まらない。経営層の理解の上で、予算化・事業戦略を立てることで、全社的な組織の変革・改善につながる。

　この段階で、②〜④の課題についても取り組むことになる。うまくいけば、社内でのセキュリティに関するキャリアパスが確立され、「セキュリティ担当者」の社内での地位が確立される。結果、人材も育成できるし、その人材が適切な対策ソリューションを導入することで、その会社のセキュリティの防御レベルも向上する。

　防御レベルが向上すると脅威が可視化されるので、それを基に現状のリスク分析を正しい精度で行うことができる。その結果を「正しい現状認識」として、経営層に戻すことで、課題①の経営層の理解が深まり、次の施策に反映されることで、課題②〜④のさらなる改善にもつながるのである。

　このループを社内で回し続けることで、社内におけるセキュリティ文化が醸成され、組織が一体となって、セキュリティ対策に取り組む体制が出来上がるのだ。

図2　社内におけるセキュリティ文化形成のライフサイクル（クリックで拡大） 出典：マカフィー

　最初のステップとして、課題①をどうやって解決するのかが問題となる。海外の電力業界などの重要インフラ業界では、政府や民間業界団体からの「規制」が1つの大きな解決手段となっている。なぜなら、規制違反は経営問題であり、経営層が責任をもって対処しなければならないものだからだ。しかし、重要インフラのように国の社会生活に影響を与えるような業界とは異なり、製造業界向けのセキュリティ「規制」は聞いたことがない。従って、別の方法を考える必要がある。

　例えば、マカフィーで実際に取り組んでいる例として、「経営層向けのサイバーセキュリティ演習」がある。詳細は次回とするが、要は、経営層にOTセキュリティをリスクとして認識させるのは、座学のようなセミナー形式ではなく、実際に体験してもらうのが一番だということだ。特に、経営層の謝罪会見まで模擬すれば、かなりの効果となるだろう。課題②〜④は、個社ごとに解決方法が違うのだが、解決のポイントは、「共通のビジネス目標、言語および体験」である。これも次回以降に詳しく紹介したい。

組織面の対応を進めるためには

　ここまでの考察で、IoT時代の安心・安全を確保するために、ITとOTの組織面での改善・変革をどのように進めたら良いのかについて、課題の抽出から、その解決の手順までの大まかな流れを簡単に説明した。次回以降は、もう少し、各ステップを掘り下げて、具体的に何をすべきかについて詳しく紹介していく。