オリンパスの新たなセキュリティ組織はなぜ“顧客中心”を掲げているのか:製造マネジメント インタビュー(2/2 ページ)
日立製作所が、2020年11月8〜6日に開催したオンラインイベント「Hitachi Social Innovation Forum 2020 TOKYO ONLINE」に、医療機器大手のオリンパスが登壇。同社 執行役員 CISO(最高情報セキュリティ責任者)の北村正仁氏が、2019年4月に発足した新たなセキュリティ組織の体制やPSIRT構築などについて説明した。
Security for Businessの確立で重要な役割を果たすPSIRT
オリンパスは、セキュリティに関わる3つの活動領域の中でも、製品セキュリティについては設計開発、販売、運用、保守、廃棄までの製品ライフサイクルをベースにした「Security by Design」のアプローチをとっていた。しかし、IoTやAI、クラウドの活用が広がり、サイバー攻撃が高度化する中でこのアプローチに限界があった。そこで新体制では、ビジネス全体を見てアプローチする「Security for Business」にコンセプトを変更している。
このSecurity for Businessを確立する中で、重要な役割を果たすのがPSIRTだ。北村氏は「これまで事業部の品質管理部門が担ってきた製品セキュリティと連携しながら、CSIRTをはじめとする他部門や、外部のセキュリティ関連機関・団体との連携を行うハブの機能がPSIRTになる」と説明する。オリンパスのPSIRTは大まかに分けて4つの機能を構築した。まず、平時対応のための情報収集と脆弱性ハンドリングを行う機能があり、万が一のインシデントが起きた際の有事対応に向けたハンドリング機能がある。そして、これらの活動を可視化してPDCAサイクルを回す機能から成る。
可視化のためのKPI(重要業績評価指標)としては、平時は脆弱性の数や変更度、情報入手してから対応完了するまでのプロセス対応期間、有事はインシデント影響度の大きさやクローズするまでの期間などがあるという。また、これらのKPIや外部から収集した情報を基にしたPSIRT活動は分かりやすい形で可視化した上で、製品セキュリティに関わる品質保証部門に加えて、開発部門や工場部門などにも展開している。
北村氏は「PSIRTを構築する中でいろいろと学ぶことも多かった。特に、社内の部署間や、社外の専門家との連携は大切だ。例えば社内であれば、今まで地域任せ部門任せだったところを、横連携で新組織の下で一つになってやれるようになった。これによって、管理の広さ、深さ、早さがアップした。全体像がつかめなかったり、どこかで滞っていたりするような事態にも対応しやすくなった」と強調する。
「失敗を糧にした」日立をPSIRT構築のアドバイザーに選ぶ
なお、今回のオリンパスのPSIRT構築では日立のアドバイスが大いに役立ったという。「当社の主力製品である内視鏡は日本国内で開発しているので、PSIRTの構築も日本国内でしっかりと進めたいと考えていた。医療機器や社会インフラを事業として手掛けるとともに、SIRTに関する取り組みで10年以上の知見があることを考慮し、PSIRT構築のアドバイザーとして日立を選んだ」(北村氏)という。
また、日立をアドバイザーに選んだ理由の一つとして、同社で2017年5月に発生したランサムウェア「WannaCry(ワナクライ)」による被害についてオープンに知らせるとともに「その失敗を糧にしている」(北村氏)ことを挙げた。同氏は「まず大前提として、セキュリティのサイバーリスクは完全にゼロにはできない。ゼロにできないからこそ、平時だけでなく有事の備えが必要になる。そういった有事の対応はきれいごとだけでは済まされないが、日立にはその経験があり、リスクを小さくするとともに有事に素早く対応するための助言が得られる。セキュリティの大規模ユーザーである日立自身の社内で起きているセキュリティ関連の課題について定期的に情報共有してもらえることも有意義だ」と述べている。
オリンパスにおけるPSIRTを中心とした新たなセキュリティ組織は、立ち上げから約1年半が経過した段階であり、まだ端緒についたところだ。今後も、継続して体制強化を進めるとともに人材育成や基盤整備にも取り組むとしている。また、医療機器を中心に進めてきたPSIRTなどの体制についても科学機器などの他事業に広げていく方針だ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- デジタル変革で何ができるか、医療現場の革新を目指すオリンパスのビジョンと苦労
MONOist、EE Times Japan、EDN Japan、スマートジャパン、TechFactoryの、アイティメディアにおける産業向け5メディアは福岡市内でセミナー「MONOist IoT Forum 福岡」を開催。後編では特別講演のオリンパス カスタマーソリューション開発 グローバル ヴァイスプレジデントである相澤光俊氏による「顧客価値向上を実現するオリンパスのICT-AIプラットフォーム」、経済産業省 製造産業局 ものづくり政策審議室 課長補佐である住田光世氏による「2019年版ものづくり白書の概要」などについてお伝えする。 - オリンパスの「ICT-AIプラットフォーム構想」、医療と産業の両分野で展開
オリンパスは2019年3月13日、東京都内で会見を開き、同社が事業を展開する医療、ライフサイエンス、産業分野に向けて「ICT-AIプラットフォーム構想」を立ち上げたと発表した。 - オリンパスがカメラ事業を売却へ、スマートフォンに押され投資会社の下で再出発
オリンパスと日本産業パートナーズ(以下JIP)は2020年6月24日、オリンパスでデジタルカメラなどを扱う映像事業を分社化し、JIPが運営するファンドに譲渡することを発表した。今後は両社でデューデリジェンスやさらなる協議を経て2020年9月30日までに正式契約の締結を目指す。 - 日立は「WannaCry」被害から何を学んだのか、IoTセキュリティサービスに昇華
日立製作所が開催した「日立セキュリティソリューションセミナー」の基調講演に、同社 サービスプラットフォーム事業本部 セキュリティ事業統括本部 副統括本部長の宮尾健氏が登壇。2017年5月に発生したランサムウェア「WannaCry」による被害から得られた気付きと、それに基づいて開発した同社のIoTセキュリティサービスを紹介した。 - 日立の工場IoTセキュリティサービスはBCPから、「WannaCry」の経験が生きる
日立製作所は、東京都内で開催した「日立セキュリティフォーラム2019」の展示コーナーで、工場IoTセキュリティに関する提案を行った。 - 三菱電機は不正アクセス問題の対応を日立に学べ
ピンチはチャンス、逆手にとって大逆転だ!