WannaCary騒動がもたらしたセキュリティへの「経営層の理解」をもう1段階進める:IoT時代の安全組織論(3)(1/2 ページ)
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第3回は、日本が特に低いとされる、経営層のサイバーセキュリティに対する理解をどのように高めていくかについて説明する。
はじめに
前回の考察で、製造業においてIoT時代の安心・安全を確保するために、IT(情報システム)とOT(制御システム)の組織面での改善・変革をどのように進めたら良いのかについて、課題の抽出と解決の手順までの大まかな流れを説明した。
今回からは、各ステップを掘り下げて、具体的に何をすべきかについて詳しく紹介していく。まずは、最初のステップとなる経営層の理解をどのように進めるかについて、例を挙げながら紹介しよう。
「経営層の理解」とは
日本は、ただでさえ、海外に比べてサイバーセキュリティに対する経営層の理解が低い水準にあるといわれている※1)。このような状況下で、経営層の理解を進めるにはどうしたらよいだろうか。「他社もやっています」というのが、よくある予算を引き出す魔法の言葉だろうが、これは、経営層の真の理解とは遠いうえに、「他社はまだやっていない」のが実情だろう。
※1)「サイバーセキュリティ経営ガイドライン」によると、「サイバー攻撃の予防は取締役レベルで議論すべきか」の問いに対して、「非常にそう思う」と答えた企業は、2015年時点で18%であり、海外(2013年:56%)の3分の1以下にすぎない
では、どうすればよいのだろうか。ここで、「経営層の理解」という言葉をもう少し細分化してみよう。経営層の理解といっても、実は幾つかの段階がある。それを以下に示す(図1)。
- Stage0:OT(工場)のセキュリティに無関心な状態
- Stage1:OTにセキュリティ脅威があることを認識している状態
- Stage2:OTにおいてセキュリティ事故が起こった場合に、どれくらいの損失(リスク)がありうるかを認識している状態
- Stage3:事業戦略にもとづいて、OTに対するセキュリティ対策予算と中長期計画が必要だと認識している状態
前回の記事で示した、社内におけるセキュリティ文化醸成のライフサイクルを回すためには、「経営層の理解」はStage3まで進む必要がある。
2017年5月の「WannaCry」騒動のおかげで、現状では、Stage1にいる経営層も増えてきているのではないかと考えられる。実際、筆者のもとには、WannaCry騒動以降、「経営層から現場にWannaCryのような攻撃への対策指示が来ているがどうして良いか困っている」という内容の相談が増えているからだ。
従って今回は、現状のStage1からStage2へ進むためにはどうしたらよいかについて紹介する。WannaCry騒動を教訓として、経営層は、「工場にもセキュリティ脅威がある」ということを認識したかもしれない。しかし、それだけでは、「自社の」工場にどれくらいの脅威が差し迫っていて、それらの脅威が現実化することによって、どのくらいの損失が発生するのかは分からない。
つまり「自分ごと」として捉えることができていないのである。結局のところ、リスクが分からないので、どれくらい投資したらよいのか分からないというのが、最終的な経営層の言い分だろう。このような経営層に対しては、やはり、実際にセキュリティ事故を体験してもらうというのが一番ということになるが、それでは元も子もない。そこで、セキュリティ事故を疑似体験できる「経営層向けのサイバーセキュリティ演習」が1つの解になるのではないかと考えられる。
Copyright © ITmedia, Inc. All Rights Reserved.