WannaCary騒動がもたらしたセキュリティへの「経営層の理解」をもう1段階進める：IoT時代の安全組織論（3）（2/2 ページ）

製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第3回は、日本が特に低いとされる、経営層のサイバーセキュリティに対する理解をどのように高めていくかについて説明する。

[佐々木 弘志 ／ マカフィー，MONOist]

経営層向けサイバーセキュリティ演習の事例

　では、「経営層向けのサイバーセキュリティ演習」とはどのようなものかを、マカフィーが実際に、OT設備を有するある事業者（以下、A社）の経営層向けに実施した演習を例にとって説明する。

　A社の経営トップは、自社のOT設備に対するセキュリティ対策の強化を進めたいと考えていた。そのために、取締役や部長以上の経営幹部の理解が必要になるということで、マカフィーとともに「経営層向けのサイバーセキュリティ演習」を行うことになった。30人以上の幹部を一同に集める必要があり、日程調整は難航すると思われたが、トップの鶴の一声で解決し、座学1時間、演習1時間というプログラムで対応することになった。

　演習の進め方は、名古屋工業大学が定期的に開催していて、マカフィーも協賛している制御系セキュリティワークショップ（関連記事：電力大手も新電力も、既にサイバー攻撃の“的”にされている）で用いているシナリオをA社担当者と相談して、A社向けに改編した。

　もともと本演習は、実際にOT設備でセキュリティ事故が発生したときに、現場はどのように連携して、誰が責任をもって何を判断するのかを、社内の関連部門ごとに役割（ロール）を分けて、関係者でシミュレーションすることによって（図2）、ITとOT両部門の連携確認や経営層に対するリスク認識を高めることを目的としている。

図2　経営層向けサイバーセキュリティ演習のロールモデル例（クリックで拡大） 出典：マカフィー

　今回のケースでは経営幹部のみの参加ということ、演習時間が1時間と限られていることもあり、経営層に対するリスク認識の向上を主眼を置いた。

　この演習が、通常のサイバーセキュリティ演習と異なる点は、OT設備でセキュリティ事故が起こり、サービス停止した場合には、社会的な被害が発生する可能性があるため、社外に対する説明責任が生じることだ。単なるITセキュリティ事故のサイバー演習よりも緊迫感があり、経営層も自社のOT設備で起こりうるリスクを「自分ごと」として認識することができる。製造業の場合でも、サプライチェーンに影響が出たり、工場のレシピデータなどの改ざんにより製品のリコールが発生したりと、社外に対する説明責任を問われるシナリオが考えられるだろう。

　演習内容を検討する上で課題になったのは、シナリオをリアルにしすぎることで、セキュリティについて理解がない経営幹部から、担当者に対して、現在の対策状況が不十分なことを糾弾する場にならないかというものであった。しかし、実際に演習をやってみると、リアルなシナリオのおかげで演習が盛り上がり、経営視点からの建設的な意見表明も多くみられた。シミュレーションによって分かった「対策本部の設置場所の確保の検討」といった具体的なアクションにまでつながっていたので、心配は杞憂に終わったといえよう。

　このような「経営層向けのサイバーセキュリティ演習」により、OTセキュリティ事故を実体験することで、経営層はOTセキュリティを自分ごととして捉え、経営リスクとして認識ができる。やはり、経営層にとって理解が難しい課題については、「百聞は一見に如かず」であり、自分が関わって体験するのが一番だろう。

組織面の対応を進めるためには

　今回は、IoT時代の安心・安全を確保するために、ITとOTの組織面での改善・変革を進めるための最初のステップである「経営層の理解」の進め方について、「経営層向けサイバーセキュリティ演習」を中心に説明した。次回は、「経営層の理解」をStage2からStage3に進めるための施策について説明する。