経営層が理解できる「OTセキュリティ戦略」はどのように策定すればよいのか：IoT時代の安全組織論（5）（2/2 ページ）

製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第5回は、経営層が「OTセキュリティ戦略」の必要性をさらに深く理解できるようにするための策定手法について説明する。

[佐々木 弘志 ／ マカフィー，MONOist]

経営戦略に沿ったOTセキュリティ戦略の立て方

　どれくらいお金を使えるか分かったところで、具体的なOTセキュリティ戦略について検討してみよう。まず、経営戦略である「選択と集中」に着目する。事業者Aは、電気機械器具部門に経営資源を集中するわけであるから、当然、OTセキュリティ戦略においても、「選択と集中」を行うべきであろう。すなわち、不採算部門の工場への投資は、放置か、事故対応手順の整備などの最低限にとどめ、逆に、電気機械器具部門は、十分なセキュリティ対策を実施するといった具合だ。

　また、「電気機械器具において、最新のIoT技術を活用して生産の効率化を図る」という戦略の実施に際して、OTのセキュリティ対策においてもITのセキュリティ技術を活用することが可能となる。例えば、この戦略に基づいて、IoTに対応した新しい設備を導入することになるだろうから、それらの新設備は「セキュリティ・バイ・デザイン」の発想であらかじめホワイトリスト型のようなセキュリティ対策を組み込んだ設計を行うことができるだろう。

　加えて、こうしたIoTシステムのセキュリティを考える上で、ITとOTの部門間の連携が必要であることは何度も述べてきた。つまり、現場で、OTセキュリティ対策を立案、実行、監査し、ITとOTの部門間をつなぐことのできる組織が必要となる。ここで、経営戦略にある「不採算部門は、縮小・売却を検討」に目を向けてはどうだろうか。例えば、不採算部門の開発や生産技術部門の人員の一部を、このようなOTセキュリティの管理組織に移行するという案も取り得るだろう。もちろんセキュリティに関する教育の投資が必要となるだろうが、どうせ日本中で人材が足りないのだから、自社で育ててしまうのもあり得ない話ではない。

　ここまでの説明をまとめると、事業者Aの「OTセキュリティ戦略」は、以下の通りとなる。

• 「選択と集中」：電気機械器具の工場に重点的にセキュリティ対策を行う。不採算部門は、最低限の投資とする
• 「セキュリティ・バイ・デザイン」：電気機械器具の工場の新規システムには、あらかじめセキュリティ対策を組み込む
• 「OTセキュリティ人材育成」：OTセキュリティ管理部門（OT-CSIRT）を新設し、不採算部門の人員を割り当て、必要なセキュリティ教育投資を行う

　こうして「OTセキュリティ戦略」が立案できれば、それを基に、OTセキュリティ対策の予算と計画を立て、経営層の承認を得るという手順となる。このセキュリティ対策を検討するときになって初めて、前回洗い出したセキュリティ課題が生きてくるのだ。

　この戦略を基にして、前回のセキュリティ課題と対策案を見直してほしい。経営計画にひも付いた視点で、対策を検討できることに気付くだろう。例えば、対策案①においては、「重要なシステム」＝「電気機械器具の生産システム」は良いが、USBメモリの使用を単に禁止するのではなく、IoT利活用を進めて、データのやりとりやメンテナンスをクラウドから実施可能とすることで、現場でUSBメモリを使わなくてもよい環境を作ることができるのだ。単に禁止とするよりは、現場の理解が得られやすいだろう。

---

　今回は、経営層への理解の進め方について、Stage2からStage3の「OTセキュリティ戦略の必要性」についての理解を深めるために、具体的な例をあげて、OTセキュリティ戦略の立案方法を紹介した。「場当たり的なパッチ当て対策」と比べて、経営計画とひも付いていることの重要性をご理解いただけたと思う。次回は、経営層の理解のもとに策定されたOTセキュリティ戦略に基づいて、本連載の大きな目的の1つである組織の変革を行う方法に話を移していきたい。