OTセキュリティの「場当たり的なパッチ当て対策」はなぜ成功しないのか：IoT時代の安全組織論（4）（2/2 ページ）

OTセキュリティ戦略が必要となる3つの理由

　事業者がセキュリティ対策を進める上で、OTサイバーセキュリティ戦略が必要となる理由は、大きく以下の3つである。

• ①OTシステムは、可用性を重視するため、変更・更新が行われにくいので、短期的な応急処置とともに、中長期計画を立てる必要がある
• ②ITとOTの部門間の組織面の連携を強化するためには、お互いの文化の違いや言葉の壁を乗り越える必要があるため、組織の変革や社員教育などの中長期的な計画が必要となる
• ③事業者のOTセキュリティ対策は、将来的なIoT利活用などのビジネス目標に沿ってなければならない

　上記の②については、これまでの本連載で強調し続けてきたことである。OTシステムに対するセキュリティ対策は、システム面においても、組織面においても時間がかかるので、その対策の間に、事業者のビジネス目標（IoT利活用など）に応じて、現場の組織やシステムに更新が行われることが想定される。

　従って、現在の個別のセキュリティ課題に対して、それぞれ対策を用意するのではなく、将来の変化も見据えた中長期的なOTサイバーセキュリティ戦略の策定とそれに見合った予算確保が必要であるということだ。そして、それを経営層が承認しなければならない。

　そのような戦略なしに、前段のような個別の対策を進めるとどうなるだろうか。例えば、前ページの対策案①のUSBメモリ使用禁止については、すぐにできる施策のように見えるが、実は一筋縄ではいかない。現場では、システムとのデータのやりとりが必要であるから、USBメモリを仕方なく使っているのだ。ITとOT部門の理解が進まない状態でこの施策を強行すると、現場では表向きはルールに従っているふりをして、USBメモリが使い続けられるということが起こる。

　対策案②についても同様で、IDSを入れたはいいが、誰がIDSを監視するのか、仮にIT部門がIDSを監視する場合に、OTシステム内のネットワークの異常をどう判断して、現場にどう伝えるのかが決まっていなければ、IDSはただの箱となってしまう。

　このような失敗例は、筆者が実際に顧客から聞いた事例である。こうした課題解決からスタートするボトムアップの戦略では、いろんな施策が行き詰ってしまうか、もしくは、やったつもりで実は改善されていないということがしばしば起こる。解決の過程で新たな課題が出てきて、予算が足りなくなるということも起こるだろう。結局、お金をかけた割には、その事業者が目指すセキュリティレベルの向上にはつながらない結果となってしまうのである。

　そうならないためにも、経営の視点でのビジネス目標と現在のセキュリティ課題を踏まえて、OTサイバーセキュリティに必要な中長期的な戦略を、組織面とシステム面双方で検討する必要があるのだ。

組織面の対応を進めるためには

　今回は、経営層の理解を進めるプロセスのStage2からStage3へ進むために、なぜOTサイバーセキュリティ戦略の策定が必要なのかを説明した。しかし、今回の説明だけでは、「場当たり的な対策」がうまくいかないのは理解したものの、OTサイバーセキュリティ戦略の必要性については、具体的に戦略を立ててみないと分からないというのが本音だろう。

　次回は、その戦略を具体的にどのように策定したら良いかについて説明する。