IoT時代の安心・安全を確保するための組織改革――中小企業編:IoT時代の安全組織論(9)(3/3 ページ)
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。最終回となる第9回は、中小企業の組織変革について、具体例とともに、変革の際のポイントを紹介する。
課題③:CSIRT、SOCの管理範囲が、社内ITシステムのみであり、工場は対象外となっている
図1では、CSIRTの管理範囲に工場を含めているので、工場にガバナンスを効かせることはできているが、そもそも、中小企業は、OTシステムのみならず、ITシステムさえも監視できていないケースが多い。従って、まずはITシステムの監視から始めるべきだろう。
中小企業のセキュリティ監視対策の1つとして、自社で監視する人材を抱えるのが大変なので、インターネットと社内情報システムの境界のセキュリティ監視をアウトソーシングすることは、一般に広く活用されている※4)。また、脅威の高まりに応じて、より包括的な監視を行うSOCサービスも一般化してきているので、図1ではSOCサービスを活用する形を取っている。
※4)関連リンク:JSOC IDS/IPS監視サービス - McAfee Network Security Platform
前回も述べたように、OTの監視サービスの市場形成はまだこれからであるが、ITとOTをまとめて監視する事業者も出てきている※5)。今後、大企業だけでなく中小企業での活用も進むようになるだろう。
※5)関連記事:ITとOTをトータルで守る統合セキュリティサービス、NTTが提供
課題④:製品に関するサイバーセキュリティの管理を、各事業部門で行っているため、会社としての一貫性がない
この課題については、図1のCSIRTが、大企業のときに新設した、製品に対するポリシー策定、脆弱性管理、顧客で発生する製品のセキュリティ事故の対応を行う役割をもつP-CERTの機能を兼ねることで解決した。最初のうちは、なかなか十分機能しないかと思われるが、中小企業であれば。主力製品も限られると考えられるので、専門組織を新設するよりは、セキュリティ知識を集約した部署が兼任することが効率的だと考えられる。また、問題を事前に防ぐという意味で、製品開発チームとの密な協力が欠かせない。例えば、製品開発プロセスにおいて、CSIRTによる仕様、設計のチェックを必須とすれば、市場での問題をある程度未然に防ぐことができるだろう。
連載を終えるに当たって
ここまで約1年、全9回にわたって、製造事業者が、IoT時代の安心・安全を確保するためには、OTシステムの技術的なセキュリティ対策だけでなく、組織的な対策が重要であると確認した上で、経営層の理解の進め方から、組織の変革の方法について順に考察してきた。
そもそも、本連載を始めるきっかけとなったのは、製造業の現場のセキュリティ対策の現状をヒアリングする中で、セキュリティ担当者が、取りあえずのWindows XP対応といった目の前の問題にとらわれすぎていて、場当たり的な対応になっているのを幾つも目にしたからである。加えて、Web上に、OTシステムの脅威をあおる内容や、技術的な対策の説明は増えてきたものの、この根本問題の解決に取り組む内容が見当たらなかったことが大きな執筆動機となった。
製造業にとって「IoT時代」というと、どこか展示会で聞くような、ふわふわとした流行語のように聞こえるかもしれないが、制御システムに情報システムの技術を活用する流れ(OTのIT化)は、工場のイーサネット化、汎用OSの採用など、21世紀に入ってから現在まで着々と進んできており、その延長上に「IoT」があると考えると、実に自然な流れだと考えられる。
結果として、OTのIT化によって、徐々に増大してきたOTシステムへのセキュリティリスクが、現場(工場部門)の対処だけでは難しくなってきていて、組織全体の問題、すなわち経営問題として扱うべき課題へと格上げになっているのが現状だ。
コスト重視の製造業にとって、価値を生まないOTセキュリティ対策はなかなか取り組みにくい課題かもしれないが、セキュリティ対策を軽視してIoTに取り組むのは、エアバッグを外した自動車でスピードを上げて運転するようなものであり、事故が起こったときの被害が致命的になるおそれがある。本連載が、安心・安全を確保しつつ、IoTの取組を進めたい製造事業者の一助となれば幸いである。
(連載完)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「IoT時代の安全組織論」バックナンバー
- IoT時代の安心・安全を確保するための組織改革――大企業編(2)
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第8回は、第7回で洗い出した大企業のセキュリティ課題を基に、どのような組織変革を行えば良いのかを一案とともに考察する。 - IoT時代の安心・安全を確保するための組織改革――大企業編(1)
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第7回は、大企業の組織変革について、具体例とともに、変革の際のポイントを紹介する。 - IoT時代の安心・安全を確保する組織変革で注意すべき5つのポイント
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第6回は、組織変革を進めるための基本的な考え方を5つのポイントに分けて説明する。 - 経営層が理解できる「OTセキュリティ戦略」はどのように策定すればよいのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第5回は、経営層が「OTセキュリティ戦略」の必要性をさらに深く理解できるようにするための策定手法について説明する。 - OTセキュリティの「場当たり的なパッチ当て対策」はなぜ成功しないのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第4回は、経営層が「OTセキュリティ戦略の必要性の認識」に至る前段階に陥りがちな「場当たり的なパッチ当て対策」の問題について説明する。