冴えない工場セキュリティガイドラインの育てかた:事例で学ぶ製造業DXセキュリティ対策入門(4)(4/4 ページ)
社内DXセキュリティプロジェクトチームのリーダーに任命された、ABC化学薬品新卒6年目の青井葵。元工場長の変わり者、古井課長の手助けも得て、製造業がDXプロジェクトと併せて進めるべき「DXセキュリティ対策」を推進していく本連載。今回は、ピンとこない工場セキュリティのガイドラインをどのように使いやすいものにしていくかを考える。
セキュリティガイドラインの正しい使い方
マスクの話はとても参考になったのですが、ガイドラインはあくまで参考で、リスクに応じて自分で対策の程度を判断するって、口でいうのは簡単ですが、実際にやるのは難しいですよね。
そうだね。もちろん技術的な裏付けは必要だけど、リスクがゼロになるわけではないから、結局は決めの問題なんだ。会社によってもリスクの考え方も違うしね。
要は、自己判断、自己責任の世界だと。
例えば、私は天気が悪くて気圧が低いと体調が良くないことが多いけど、それは他の人が同じとは限らないでしょ。青井さんはいつも元気だしね。
なるほど、だから最初に天気を気にしていたのか。しかし一言多いなぁ。
はいはい、私は元気だけが取りえです。でも、人によってリスク判断が違うってことは、対策の内容は、私の判断だけではまずいってことですよね。
その通り、だからその判断は、会社全体のリスクを知っている経営層の仕事だ。青井さんは、経営層への説明時に、対策を並べるだけでなく、その結果、低減されるリスクと残るリスクの両方を説明して、可否を判断してもらう必要がある。
私、やっぱり責任重大ですね。それこそ「青井さんの資料に書いてあることは大丈夫?」って言われそうです。
そういうときにガイドラインを使うのさ。例えば、要件の網羅性の判断には最適だよね。あと、青井さんが考えた個性的な対策も、結局どこかの要件に当てはまるでしょ。だから、「この対策はガイドラインの○○に対応しています」といえば説得力が増すよね。
では、標語コンテストとかは、作業員のセキュリティ教育実施の要件とひも付ければいいですね。実効的な対策を先に考えて、後でガイドラインとひも付けするようにすれば、説明責任も実効性も両方達成できそうですね。
そうだね、実際は、ガイドラインを確認しているときに観点漏れが見つかることもあるから、相互を行ったり来たりでやるのがいいと思うよ。
何とか、ガイドラインの沼から抜け出せそうな気がします。今日は天気が良くてよかったです。
いえいえ、どういたしまして。これで黒川社長への説明もばっちりだね。
うう、そんなプレッシャーかけないでください。それにしても、課長が低気圧に弱いとは知りませんでした。あ、いいセキュリティ標語を思い付きました!
へえ、夢に出てくるまで考えたかいがあったね。
「低気圧 不機嫌 課長の 定期圧 うかつに寄ると 雷鳴響くよ」。お後がよろしいようで。
人をパワハラ上司みたいに言わないで! 工場関係ないし。
私のためのセキュリティ用語としては完璧です!
自己判断、自己責任でリスクを回避する。それこそガイドライン頼りじゃ、この先が見えない世の中を生き抜いていけないしね。
参考資料:青井葵の工場セキュリティ標語集
佐々木氏執筆の書籍が発売中です!
本連載を執筆する佐々木弘志氏が執筆した書籍「製造業のサイバーセキュリティ: 産業サイバーセキュリティ体制の構築と運用」が発売中です。入門編の位置付けとなる本連載からさらに踏み込んで、より実践的な製造業のサイバーセキュリティ対策を進めるのに最適な解説書となっています。興味のある方は、Amazon.comや書店でチェックしてください!
筆者プロフィール
佐々木 弘志(ささき ひろし)
国内製造企業の制御システム機器の開発者として14年間従事した後、セキュリティベンダーに転職。制御システム開発の経験をもつセキュリティ専門家として、産業サイバーセキュリティの文化醸成(ビジネス化)をめざし、国内外の講演、執筆などの啓発やソリューション提案などのビジネス活動を行っている。CISSP認定保持者。
2021年8月〜現在:フォーティネットジャパン株式会社 OTビジネス開発部 部長
2012年12月〜2021年7月:マカフィー株式会社 サイバー戦略室 シニア・セキュリティ・アドバイザー
2017年7月〜現在:独立行政法人 情報処理推進機構(IPA)産業サイバーセキュリティセンター(ICSCoE)専門委員(非常勤)
2016年5月〜2020年12月、2021年7月〜現在:経済産業省 商務情報政策局 情報セキュリティ対策専門官(非常勤)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「事例で学ぶ製造業DXセキュリティ対策入門」バックナンバー
Re:ゼロから始める工場のサイバー衛生
社内DXセキュリティプロジェクトチームのリーダーに任命された、ABC化学薬品新卒6年目の青井葵。元工場長の変わり者、古井課長の手助けも得て、製造業がDXプロジェクトと併せて進めるべき「DXセキュリティ対策」を推進していく本連載。今回は、セキュリティが自分事ではない工場現場にセキュリティ意識を持ってもらうための方法を考える。
工場にIT略語を持ち込むのは間違っているだろうか
社内DXセキュリティプロジェクトチームのリーダーに任命された、ABC化学薬品新卒6年目の青井葵。元工場長の変わり者、古井課長の手助けも得て、製造業がDXプロジェクトと併せて進めるべき「DXセキュリティ対策」を推進していく本連載。今回は、現場ヒアリングのために行った工場側との打ち合わせがうまくいかなかった原因を探る。
いきなり社長に呼ばれたらDXセキュリティ対策を丸投げされた件
中堅化学薬品メーカーのABC化学薬品に勤める新卒入社6年目の青井葵。彼女はいきなり社長室に呼ばれ、社内DXセキュリティプロジェクトチームのリーダーに任命される。それまで社内のセキュリティ問い合わせ担当だった青井にとって、これはいきなり荷が重すぎる! 元工場長の変わり者、古井課長の支援の下、果たしてプロジェクトの命運はいかに!?
IoT時代の安心・安全に組織面の対応が重要となる理由
製造業がIoT(モノのインターネット)を活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第1回は、技術面以上に、なぜ組織面での対応が重要となるのかについて説明する。
なぜ今、制御システムセキュリティがアツいのか?
なぜ今制御システムセキュリティが注目を集めているのか。元制御システム開発者で現在は制御システムセキュリティのエバンジェリスト(啓蒙することを使命とする人)である筆者が、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する。
経産省BASセキュリティガイドラインの必要性と策定の経緯
本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。
今、電力システムにセキュリティが必要とされている4つの理由
電力システムに、今、大きな転換期が訪れている。電力自由化やスマートメーターの普及など、より効率的な電力供給が進む一方で、これまで大きな問題とならなかった「サイバーセキュリティ」が重要課題となってきたのだ。本連載では、先行する海外の取り組みを参考にしながら、電力システムにおけるサイバーセキュリティに何が必要かということを紹介する。