急速に変わる製造業セキュリティ責任者の役割 守りと革新のバランス取りを:転換期迎える産業界のCISO
製造業のサイバーセキュリティ対策の重要性が高まる中、その最高責任者である「CISO」の役割も急速に変化しているようです。これからのCISOには何が求められるのでしょうか。
デジタルトランスフォーメーションの波が産業部門を席巻する中、サイバーセキュリティの重要性は日々高まっています。近年、日本の産業界では重大なサイバーインシデントが相次いでおり、日本を含むグローバルでの事業運営に影響が及ぶなど、サプライチェーン全体のセキュリティリスクが顕在化しています。
変革期を迎えるCISO
Netskopeの調査によると、産業部門のCISO(最高情報セキュリティ責任者)の60%が「自身の役割が急速に変化している」と報告しています。この数字は全業界平均の65%やフィナンシャルセクターの80%と比べるとやや低いものの、産業部門のCISOが大きな転換期を迎えていることを示しています。
特筆すべきは、産業部門のCISOの約3分の2に当たる63%が「将来的にビジネスの推進により積極的な役割を果たしたい」と考えていることです。この数字は全業界平均の67%に近く、CISOが純粋な技術的役割を超えて、ビジネス戦略の不可欠な一部となることを目指していることを示しています。
経営陣との認識ギャップ
しかし、調査ではCISOの役割の変化に関して、CISOと他の経営幹部との間に深刻な理解のギャップが存在することも明らかになりました。産業部門のCISOの61%が「他の経営幹部はCISOがイノベーションを促進する役割を果たせることを理解していない」と考えています。
さらに懸念されるのは、産業部門のCISOの91%が「リスクへの対処方法に関する意見の相違が経営陣の間で問題を引き起こしている」と報告していることです。これは、セキュリティリスクの評価と対応に関して、リーダーシップチーム内で共通認識が欠如していることを示しています。
産業部門特有の傾向
他の業界と比較すると、産業部門のCISOは組織づくりにおいて異なる志向が認められます。金融や小売、医療などの業界がより開放的で柔軟な組織構造を目指す中、産業部門のCISOは今後数年間でより閉鎖的で安全な組織づくりを基本方針に据える傾向があります。
具体的には以下のような特徴が見られます。
- 従業員の柔軟性よりも保護を優先
- 迅速なイノベーションよりもリスク最小化を重視
- 各現場への権限委譲よりも組織の中核での慎重な意思決定を好む
- ビジネスプロセスと効率性に対するより統制の取れたアプローチを採用
これらの傾向は、産業部門特有の課題とリスクを反映しています。例えば、製造業や重要インフラでは、セキュリティインシデントが物理的な損害や生産停止につながる可能性があり、より慎重なアプローチが必要となります。
CISOの役割強化に向けた実践的なステップ
これらの課題に対応し、機会を生かすため、産業部門のCISOは以下の実践的なステップを検討すべきです。
- ビジネスの包括的な理解の醸成
異なる事業部門と時間を共有し、その目標、課題、リスク許容度を理解
ビジネス目標に沿ったセキュリティ戦略の策定に活用 - セキュリティリスクのビジネス的な定量化
技術的なセキュリティ指標をビジネスインパクト評価に変換
他の経営幹部とのコミュニケーションギャップを埋め、セキュリティ投資の価値を実証 - セキュリティ意識文化の醸成
定期的なトレーニングプログラムと啓発キャンペーンの実施
セキュリティをIT部門だけでなく、全員の責任とする文化の構築 - 新興技術の賢明な活用
産業部門は慎重な傾向があるものの、脅威検知と対応のためのAIや機械学習の適切な導入
運用効率を損なうことなくセキュリティ態勢を強化 - 他部門との協働
運用部門、R&D部門などと密接に協力
新製品やプロセスにセキュリティを最初から組み込む
結論
産業部門のデジタル化が進む中、CISOの役割はますます重要となります。課題は、セキュリティを確保しながらイノベーションを促進することにあります。時として相反するこれらの優先事項の間で適切なバランスを見いだすことが、産業部門のCISOに託された使命です。
産業部門特有の特徴――物理的資産、運用技術システム、そして多くの場合、重要インフラとしての地位――は、このバランス取りを特に困難なものにしています。しかし、これはCISOがデジタル資産だけでなく、産業運営の基盤そのものを保護することで、その価値を示す機会でもあります。
今後、産業部門において成功するCISOには、この複雑な領域をうまくかじ取りし、セキュリティ戦略とビジネス目標の整合性を高め、リーダーシップ、そして効果的なコミュニケーションを実現し、組織全体でセキュリティ意識の文化を育成することが求められるでしょう。そうすることで、サイバー脅威から企業を守るだけでなく、デジタル化がますます進む世界において、組織がイノベーションを起こし、繁栄する道を切り開いていけます。
Netskope Japan株式会社
ソリューションエンジニアマネージャー
小林 宏光
2018年7月にNetskope入社。初期メンバーのSEとして、以後、Netskopeソリューション/製品の技術的な啓蒙とノウハウの日本市場のユーザーやパートナーへの浸透を支援している。Netskope入社以前は、チェックポイント・ソフトウェア・テクノロジーズ 技術本部長、アルバネットワークス シニアコンサルタント、ジュニパーネットワークス パートナー技術本部SEマネージャなどを担当。またそれ以前にはAT&T/Lucent Technologiesにおいて通信授業者向け音声/移動体インフラSEを長年担当し、ネットワークとネットワークセキュリティに30年近く幅広い経験を持つ。1992年、大学卒業後にAT&T Japan入社。Lucent Technologies時には2年間の米国NJでの勤務を経験。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
スマート工場におけるガイドライン別冊の活用ポイントと注意点
本稿では、近年増加するスマート化を進める工場が留意するポイントを、スマート工場向けのガイドラインをもとに解説します。
信頼性強化か大惨事か 基幹インフラでの機械学習活用がOT環境に与えるリスク
機械学習アルゴリズムを基幹インフラシステムに統合することで、リアルタイムのモニタリングや予知保全といったメリットがもたらされます。一方で、サイバーセキュリティ上のリスクが生じることも確かです。本稿ではこのセキュリティリスクについて解説を行います。
TIS、製造工程におけるサイバーセキュリティ強化支援サービスの提供を開始
TISは、工場などの製造工程におけるサイバーセキュリティ対策の強化をサポートする「OTセキュリティコンサルティングサービス」の提供を開始した。現状把握から対策立案、実施までをワンストップで支援する。
サイバー攻撃に狙われる医療機関、統合型のセキュリティアプローチが特効薬に
医療機関に対するサイバー攻撃の脅威が増大する一方で、セキュリティ対策がなかなか進まない状況にある。格好の標的となっている医療機関をサイバー攻撃から守るにはどうすればいいのだろうか。
OTセキュリティを巡る3つの落とし穴〜Why OTセキュリティの共通認識と本質的How
本稿では、OTセキュリティにおける3つの落とし穴を通して、OTセキュリティのWhy(なぜ必要なのか)の共通認識と、勘所としてのHow(どのように進めるか)を解説します。
工場のサイバーセキュリティ対策、スマート化を進める際のポイントとは
製造業向けの国内最大級のオンラインイベント「ITmedia Virtual EXPO 2024 夏」において、「経済産業省における工場セキュリティ政策〜工場スマート化を進める際の対策ポイント〜」をテーマに経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐 加藤優一氏が行った基調講演の模様を一部紹介する。