特集:IoTがもたらす製造業の革新〜進化する製品、サービス、工場のかたち〜
連載
» 2018年04月20日 10時00分 公開

IoT時代の安全組織論(8):IoT時代の安心・安全を確保するための組織改革――大企業編(2) (1/2)

製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第8回は、第7回で洗い出した大企業のセキュリティ課題を基に、どのような組織変革を行えば良いのかを一案とともに考察する。

[佐々木 弘志 / マカフィー,MONOist]

はじめに

 前回は、IoT時代の安心・安全を確保するための組織変革の進め方の具体例として、大企業の仮想の組織図をもとに、そのセキュリティ課題を洗い出した。今回は、課題解決のために、どのような組織変革を行えば良いのかを一案とともに考察する。

大企業における組織変革例

 前回、大企業の例として挙げた仮想の事業者Aの組織のセキュリティ課題について、どのような組織変革を行ったらよいかの一案を図1に示した。前回も述べた通り、あくまで一案であり、事業者の事情によっては必ずしも正解とはなりえないことに留意いただきたい。

図1 図1 仮想の事業者Aの組織の変革例(連載第7回の図1からの変革)(クリックで拡大)

 では、前回洗い出した仮想事業者Aの4つの課題に沿って、図1の変革内容を説明する。

課題①:CIOとCISOが分離されておらず、IT投資とセキュリティ対策のバランスがとりにくい

 図1の変革後は、経営層にCIOとCISOが設置され、情報システム部門とセキュリティ部門との組織のラインが明確に分かれている。このような体制とする理由は、経営のレベルでIT投資とセキュリティ対策のバランスを取ることと、CIOとCISOの双方が独立した組織のラインをもつことで、対等の関係での議論が期待できるからである。

 また、全社のセキュリティに関する責任の所在も明確となる。このようなCISOの在り方は、海外でも比較的最近の考え方であり、サイバー脅威の高まりに応じて、経営層の中でのCISOの重要性が高まったといった議論※1)や現実にはCISOがCIOにレポートするような組織形態もあるが、それでは、利益相反が発生してしまうので、もっと対等に双方がお互いの意見を尊重すべきだといった議論が行われている※2)

※1):The changing relationship between the CIO and CISO

※2):CIO Vs. CISO: Who Does What?

課題②:各事業部のガバナンス部門の力が強く、CSIRTでセキュリティポリシーを策定しても、各事業部で徹底されにくい

 図1の変革後は、CISO直下に、IT-CSIRTの他、工場のセキュリティ事故対応を行うだけではなく、各事業部のセキュリティポリシーを検討し、ガバナンスを効かせる役割をもつOT-CSIRTが新設されている。このOT-CSIRTのメンバーは、各事業部でセキュリティ管理を担っていた人を集めることを想定している(図中の事業部内の「G」が消えているのは、OT-CSIRTに異動したことを示す)。

 このような体制とする理由は、IT-CSIRT及びOT-CSIRTがCISOの直下となることで、全社的なガバナンスを効かせやすくなることが挙げられる。また、OT-CSIRTは、事業部出身のメンバーで構成されるため、工場現場の事情を勘案して、ポリシーの策定や教育プログラムの検討を行うので、施策の実行時に、IT-CSIRTが実施するよりも現場に受け入れられやすいだろう。

 この際に課題となるのが、OT-CSIRTのメンバーのセキュリティ知識と経験不足である。これらの解決方法は幾つかある。例えば、外部のプログラムを用いて教育※3)を行うことが考えられる。または、OT-CSIRTがIT-CSIRTと協働しながら、学んでいくという方法もあるだろう。OT-CSIRTが一般化してくれば、同業の会社間でのOT-CSIRT同士の交流の中で、お互い成長を図るといったことも期待できるだろう。

※3):制御システムセキュリティのe-learning講座

 別の案として、OT-CSIRTを常設するのではなく、ワーキンググループのような形が良いのではないかという意見もあるかもしれない。実際、事業部の代表が定期的に集まって、IT-CSIRTの人を交えたワーキンググループで、ポリシー策定などをしている企業もあるそうだ。

 ただ、そのような形態だと、大きく2つの問題があると考える。1つは、事業部のセキュリティ管理担当者がCSIRT業務に十分な時間をさけないことである。事業部のセキュリティ管理担当者は、専任でない場合が多く、別の実務を抱えているため、非常に多忙な人であることが多いからだ。もう1つは、ガバナンスとマネジメントの分離ができないことである。つまり、事業部の立場が残ったままポリシー策定に参加してしまうと、どうしても自身の事業部の都合の良い方(コストが掛からず、手間も掛からないやり方)に結論が倒れがちである。

Don’t let the fox guard the henhouse.(狐に鶏小屋を見張らせるな)

 これは、日本ではこのような体制があると米国の電力業界に紹介したときに、先方から言われたことわざである。このことわざは、「狐に鶏を見張らせると、見張るどころか食べてしまうということで、信用置けない人に大事なものを任せるな」という意味だそうだ。つまり、見張り(ガバナンス)は、鶏(セキュリティ)との利害関係のある狐(現場の人)に任せてはいけないのだ。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.