IoT時代の安心・安全を確保するための組織改革――中小企業編:IoT時代の安全組織論(9)(2/3 ページ)
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。最終回となる第9回は、中小企業の組織変革について、具体例とともに、変革の際のポイントを紹介する。
中小企業における組織変革の例
前述の考え方を踏まえて、中小企業の組織変革を考えてみよう。図1に仮想の中小製造事業者Bの組織変革の例を示した。変革前との違いは、図1内の点線枠で囲った通り、「CISO及びその直轄組織としてのCSIRTの新設」「SOC機能をMSS(Managed Security Service)利用により実現」の2点である。また、CSIRTから各工場の責任者に点線が伸びているが、この説明は後述する。
では、前回の大企業の例と同様に、課題に沿って、図1の組織変革の意図を説明しよう。
課題①:CIOとCISOが分離されておらず、IT投資とセキュリティ対策のバランスがとりにくい
中小企業の場合も大企業と同様に、CISOの新設が課題解決の方法となる。中小企業の場合、そもそもCIOの設置さえ行われてないケースもあると考えられるので、CISOの設置はセキュリティ事故があったときに「責任を取る人」を決める意味合いが強い。場合によっては、社長が兼務することもあるだろう。具体的にCISOが何をすべきかについては、IPAから「中小企業の情報セキュリティ対策ガイドライン」※2)が発表されているのでこちらを参照するとよい。
※2)関連リンク:情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン第2.1版」
課題②:各工場のガバナンス部門の力が強く、CSIRTでセキュリティポリシーを策定しても、各工場で徹底されにくい
大企業の場合は、CISO直下にIT-CSIRTだけでなく、事業部のセキュリティ担当者を巻き込んだOT-CSIRTを新設したが、中小企業では、そこまで人員を割くことができない。また、工場には、そもそも専任のセキュリティ管理者がいない場合が多いので、ITとOT両方のガバナンス機能をもつCISO直轄組織のCSIRTを新設し、情報システム部から2人を選抜して配置した。
CSIRTのもつべき機能については、CSIRT協議会の資料※3)などから確認できるが、全部を2人で行うのは不可能なので、フォレンジック担当など専門性が高い機能は外部のリソースを活用することになる。どこまでの機能を実現するかは、予算との兼ね合いだが、外部に頼るだけでなく、CSIRTメンバーのセキュリティのスキルアップは、必ず実施しなければならない事項だ。外部に頼れる部分は、具体的な運用やインシデント対応である「マネジメント」の部分だけであり、常時の方針決定や非常時の意志決定である「ガバナンス」は、自社の人員でしか判断できないからだ。情報処理安全確保支援士やCISSPなどのセキュリティ資格を取得することを目標としつつ、実務に関する知識をつけると良いだろう。
※3)関連リンク:日本シーサート協議会「CSIRT人材の定義と確保」
また、経営直轄となり、CSIRTに強力な権限が付与されることで、課題であったポリシーの徹底がやりやすくはなる。とはいえ、現場にとって、セキュリティポリシーの徹底は、面倒な作業であることには変わりないので、CSIRTメンバーが、各工場の責任者と定期的に意見交換をして、ポリシーを柔軟に運用することが肝要だ。現場のキーマンが明らかなケースが多いと思われるので、組織と組織の関係というよりは、個々の信頼関係の構築を重視して進めるのが良い。図1ではその意味をこめて、担当者間を点線でつないでいる。
中小の事業者であれば、対象となるOT設備はさほど多くないと考えられるので、単なるアンケートや定期テストだけではなく、CSIRTメンバーが直接現場に入って、OTシステムの資産管理のサポートやポリシー運用の立ち入り監査を行うことも可能だろう。ここは、中小企業だからこそできる小回りの効く運用を心掛けたい。
Copyright © ITmedia, Inc. All Rights Reserved.