IoT時代の安心・安全を確保するための組織改革――大企業編（2）：IoT時代の安全組織論（8）（2/2 ページ）

製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第8回は、第7回で洗い出した大企業のセキュリティ課題を基に、どのような組織変革を行えば良いのかを一案とともに考察する。

[佐々木 弘志 ／ マカフィー，MONOist]

課題③：CSIRT、SOCの管理範囲が、社内ITシステムのみであり、工場は対象外となっている。

　図1の変革後は、課題②でも述べたように、OT-CSIRTが工場の管理を行うため、ガバナンスの管理範囲についての課題は解決している。しかし、SOCの監視範囲については変革後も社内ITのみとなっている。本来は、OT-CSIRTの下にOT-SOCがある体制が望ましいのだが、OT-SOCを構築しようとすると、監視する人のリソースやシステム構築に大きなコストが掛かるため、ここでは記載していない。

　IT-SOCのように外部のMSS（Managed Security Service）が簡単に利用できれば良いのだが、OT独自の通信プロトコルへの対応などの理由で、市場形成がまだできていないのが現状だ。もっとOT-CSIRTが一般化すれば、当然現場を可視化したいという要求が増えるはずなので、そうなれば、OTのMSS事業者の市場形成も行われるものと思われる。

課題④：製品に関するサイバーセキュリティの管理を、各事業部門で行っているため、会社としての一貫性がない

　図1の変革後は、CISOの直下に、製品に対するポリシー策定、脆弱性管理、顧客で発生する製品のセキュリティ事故の対応を行う役割をもつP-CERT（Product Community Emergency Response Team：製品コミュニティー緊急対応チーム）が新設されている。ここではCISOの直下となっているが、製品の品質管理（Quality Control）を行う担当役員がいた場合には、その配下となることも考えられる。

　そもそも、P-CERTが必要かどうかは、事業者が提供している製品のサイバーの依存度にもよるが、今後のIoT社会の進展により、その必要性は高まっていくものと考えられる。既に、ドイツの製造事業者であるシーメンス（Siemens）のように、P-CERTを運用する事業者も出てきている^※4）。

※4）：Siemens ProductCERT and Siemens CERT

　このP-CERTの人材を社内で確保するのは至難なのだが、最初は外部リソースに頼るにしても、製品の管理を人任せにはできないので、やはり社内で人材育成を行うことになると考えられる。

　その際に、製品の開発または品質管理を行っていた人をP-CERT担当者として育てることが良い結果を生むと考えられる。なぜなら、製品の脆弱性管理においては、その製品のソフトとハードの設計に関する知識が重要であり、その土台の上に、トレーニングなどでセキュリティの知見が加わることによって、深い検討が可能となるからだ。

　また、将来的には、製品のセキュリティを遠隔監視するP-SOCも一般化する可能性がある。例えば、IoTにより工作機械などの製品の予知保全を行っている事業者が、加えて、セキュリティの監視を行うことは自然な流れだからである。

---

次回は、中小企業における組織の変革について

　今回は、大企業の仮想の組織図をもとに、セキュリティ課題解決のためにどのような組織変革を行えば良いのかを一案とともに考察した。今回の案では、まず「箱を作ること」を重視した。必要となる役割と責任を明確化した部門を新設することで、経営から見たときの期待と責任の所在が明らかになるからだ。その後で、「箱の中身」を強化していけばよい。最初から十分な能力をもった人材ばかりで始められるわけではないので、トレーニング、セミナーや外部リソースを活用しながら、徐々に強化していくことをあらかじめ計画に盛り込んでおくと良いだろう。

　次回は、中小企業における同様の組織の変革について考えてみる。大企業と比べると人的にもコスト的にも限られたリソースの中で、どのような組織の変革が考えられるのかを考えてみよう。