OTセキュリティ規制対応を「攻めの投資」へ変える方法とは:製造業サイバーセキュリティ新常識(3)(2/2 ページ)
本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド(格差)」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。最終回となる第3回では、これまで述べてきた取り組みがいかにして企業の未来を創る「攻めの投資」となり得るのかを論じます。
誰が未来を創るのか
この変革を具体的に推進するのは、言うまでもなく「人」と「組織」です。「レジリエンス・バイ・インテグレート」の実現には、企業のIT基盤、市場に出荷する製品、そしてモノづくりの心臓部である工場という、性質の異なるそれぞれの領域を守る専門チームの確立と、その密な連携が不可欠となります。
- CSIRT(Computer Security Incident Response Team)
- ITシステムや情報資産を守る、組織全体のセキュリティの最後の砦
- PSIRT(Product Security Incident Response Team)
- 出荷した製品の脆弱性に対応し、顧客にとっての製品価値/サービス価値という信頼を守る要
- FSIRT(Factory Security Incident Response Team)
- スマートファクトリーをサイバー脅威から守る、OT現場の守護神
しかし、これらの専門チームをただ設置するだけでは十分ではありません。多くの企業では、IT部門、製品開発部門、工場運用部門は歴史的に独立して運営されており、強固な「サイロ」が形成されています。
これら3つのチームがそれぞれの役割を全うすることはもちろん重要ですが、真の力は三位一体の連携によって生まれます。
例えば、IT領域でCSIRTが検知した攻撃情報が即座にPSIRTやFSIRTに共有されれば、製品や工場での事前対策が可能になります。インシデント発生時には、それぞれの専門知識を結集することで、より迅速かつ効果的な対応が期待できるのです。この有機的な連携こそ、「人の統合」の具体的な姿です。
こうした連携を支えるためには、専門チームの技術力向上が欠かせません。CSIRT/FSIRT/PSIRTのフォレンジック調査技術研修などを通じて、各チームが高度なスキルを習得し、いざというときに備える必要があります。
また、事業継続を目的にした内部監査評価者へのセキュリティおよびレジリエンス教育も、組織全体としてレジリエンスレベルを向上させる上で重要な取り組みとなります。
「レジリエンス・バイ・インテグレート」で次の時代へ
本連載を通じて、製造業を取り巻く環境変化と、その解決策を提示してきました。最後に、これからの時代を勝ち抜くためのメッセージで、本連載を締めくくります。
「評価」が示す、次なる進化の道筋
CRAや国内新制度がもたらす「格付け」は、脅威であると同時に、企業が進むべき道を示す道しるべでもあります。「レジリエンス」という評価軸は、われわれがどこを強化し、どこへ向かうべきかを明確に教えてくれるのです。この評価を好機と捉えることが、変革の第一歩となります。
システムと組織の統合が創る、未来の主役
これからの時代、主役となるのは、単に優れた製品を持つ企業ではありません。前編から繰り返し述べてきたように、堅ろうな「技術」、訓練された「人」、そしてセキュアな「組織」を三位一体で統合し、「レジリエンス・バイ・インテグレート」を体現した企業こそが、顧客と市場から選ばれる次世代の主役となるでしょう。
変革への勇気が、持続可能な未来を開く
現状維持は、もはや緩やかな後退を意味します。本連載で示した設計図を手に、自社の課題と向き合い、変革へと一歩踏み出す。その勇気ある決断こそが、サイバー脅威の時代においても揺ぎない、持続可能な未来を開く唯一の道です。この連載が、その一助となることを心から願っています。
著者紹介
村上 正志
株式会社ICS研究所 代表取締役社長
米国系制御製品メーカーで火力発電所自動制御装置システム設計および製品開発エンジニアとして勤務後、日本の制御製品メーカーで事業戦略/企画の管理職を経験。OPC FOUNDATION創設に寄与し、PLC Open創設以来の会員となっている。また、任意団体VEC(Virtual Engineering Community)を立ち上げ、VEC事務局長を担当している。
フランス系制御総合製品メーカーではものづくりマーケティングを担い、2008年から制御システムセキュリティ研究を開始。2011年に経済産業省「制御システムセキュリティ検討タスクフォース」のステークホルダーメンバーとして活動し、国内制御システムセキュリティセンターCSSCの認証機関を認定する機関の技術審査員を担当した。
2015年に株式会社ICS研究所を創設。IPA(情報処理推進機構)の産業サイバーセキュリティセンターの講師も務めている。日本OPC協議会顧問。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
防御からレジリエンスへ〜製造業を襲うサイバーセキュリティ“格付け”の波
本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド(格差)」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。第1回では、製造業を取り巻く環境の激変と、そこから生まれる新たな“選別”の波について解説します。
CRA時代の羅針盤IEC 62443が示す「レジリエンス・バイ・インテグレート」
本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド(格差)」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。第2回では、産業用オートメーションおよび制御システム(IACS)のセキュリティに関する国際規格「IEC 62443」を読み解き、「レジリエンス・バイ・インテグレート」実現への道を解説していきます。
その対策が脅威に……OTセキュリティで今起きている怖いこと
製造現場でサイバー攻撃の脅威が高まり、各種の関連製品、サービスが生まれている。その中で、新たな課題が見え隠れしているという。今回は、それらの課題を巡るOTセキュリティの専門家による対談をお送りする。
経産省の工場セキュリティガイドラインはなぜ別冊が必要だったのか
経済産業省は工場セキュリティガイドラインを2022年11月に発表したのに続き、同ガイドラインの【別冊:スマート化を進める上でのポイント】を2024年4月に公開した。これらを策定した狙いはどこにあるのか、経済産業省に聞いた。
高まるサイバー脅威にどう備えるか、製造業セキュリティ向上に向けた経産省の政策
アイティメディアが2025年8月に開催した「製造業セキュリティセミナー 2025 夏」では、経済産業省の石坂知樹氏が基調講演に登壇し、同省が推進する工場セキュリティ政策の最新動向を解説した。本稿では、基調講演の主要なポイントを紹介する。