連載
» 2014年03月06日 10時00分 公開

法律家が見るサプライチェーンの知財侵害リスク(5):サイバー攻撃の脅威は、サプライチェーンにどういう危機をもたらすか (2/2)

[三島一孝,MONOist]
前のページへ 1|2       

サイバー攻撃に対して製造業ができること

――これらの厳しい状況の中で製造業はどのような対策を行っていくべきでしょうか。

トロバート氏 現状では、技術面での対策をいくら行ったとしても、脅威となる側の成長度の方が高く、単独で戦うことは難しい状況です。企業も技能を持った人材を教育しようと苦しんでいる状況です。投資も増やしています。しかし、全体的には潤沢な予算があるとは言い難い状況です。当社の調査では65%の企業が「予算が厳しく十分に対策できない」と回答しています。

 ITガバナンスにおいて、リスクの状況とセキュリティ対策の整合性を取り、不均衡が生じないようにする、ということは基本中の基本です。しかし実際には自らのリスクと対策の間に「差異がある」という認識を持つ企業は62%に達しています。このような基本的なことで問題を放置せざるを得ない企業が半分以上もあるということには、驚きを禁じ得ません。

 今回当社が行ったセキュリティ調査では、「成功企業のベストプラクティスは何か」を探るために、成功企業の共通点を調査しました。すると以下の4つのポイントが共通点として挙がりました。

  • トップのコミットメント
  • 組織としてセキュリティ戦略に整合性がある
  • 戦略に対する、人、プロセス、テクノロジーなどが備わっている
  • これらの取り組みを(ルールを決めるだけでなく)実行している
EY 「セキュリティの成功企業には4つのポイントがある」と語るトロバート氏

 これらの中で特に大事なことは、「トップのコミットメント」と「組織としてのセキュリティ対策」です。

 セキュリティ対策が、技術面での単独の対策で解決できないということが明らかになる中、組織を守るためには、サプライチェーンを通じた社内システムを含め、組織全体が“強靭な体質”を身に付けるしかありません。強靭な体質を持つということは予測できない思わぬ伏兵に対応できるようになるということです。企業は戦略的に舵を切って、強靭な体制を築かないとなりません。

 それでは「強靭さ」はどうやれば、身に付けられるのでしょうか。それには、トップが自らのリーダーシップにより、改革を進めていくことです。トップのコミットメントなしには“強靭な体質”の実現はあり得ません。

 実際に調査では、ITガバナンスにおいて取るべき方策の実に80%のことが、テクノロジーではなく“人”の問題を示しているのです。人に対する管理や対策、意識付けを進めていくことで、企業はさまざまな面で、より強い体質に変革していくことが可能になります。それが結果的にセキュリティにもつながってくるのです。

定期的に自社・サプライチェーンのITデューデリジェンスを行う

ダガッド氏 セキュリティ対策は複雑な問題が絡み合う状況になっており、それらを読み解くことは並大抵のことではありません。昨今、グローバルにサプライチェーンを構築する企業も増えています。問題が発生したとしたら、それはその企業だけにとどまる問題ではもはやないということです。企業そのものの情報漏えいや工場の稼働停止などの他、サプライチェーンでつながる取引先の企業への影響、またネットワークでつながるコミュニティーへの影響など、あらゆる組織への被害をもたらす可能性があります。その被害額は莫大なものになる可能性があります。要因は、自社のセキュリティ対策の不備かもしれませんし、非正規のITリソースを使用するサプライヤーが感染したマルウェアが原因かもしれません。

マイクロソフト 「ITのデューデリジェンスを行うべきだ」と語るダガッド氏

 ただ、これらの複雑さに当惑していては何も始まりません。先ほどのトロバート氏の話に付け加えるとすると、まずは自分の周囲からさまざまな取り組みを行い、固めていくことが重要です。例えば、職場や家庭などの単位から、クリーンで合法的なITを活用することです。それを徐々に広げていき、サプライチェーンもクリーンな環境を作り、最終的には企業の関わる環境・資源が全てクリーンな状況にしていくと強靭な体制が築けるようになります。重要なことは定期的にITのデューデリジェンス(資産査定)を行うことです。そのためには、サプライヤーとも協力しながら、ソフトウェアの資産管理を標準化して事業を営んでいくことが必要になります。

 また、これらの取り組みを進めていくには、専門家や外部との協力が必要になってきます。マイクロソフトでは、「Microsoft Digital Crimes Unit(以下、DCU)」というサイバー犯罪に対する専門チームを抱えており、サイバー犯罪の撲滅に力を注いでいます。DCUは、法律の専門家、調査員、技術解析者などで構成されるスペシャリスト集団です。DCUでは、業界団体、政府、研究機関、法執行機関、NGOなどと協業し、あらゆるサイバー犯罪を撲滅するための活動を行っています。このようにさまざまな力を利用して総合的な取り組みを行うことが重要です。

トロボード氏 いろいろな次元や視点で見る必要があるように感じています。例えばサプライヤーのシステムを自社システムの一環としてとらえると、セキュリティは、サプライチェーン全体で総合的な強さを築いていく必要があります。チェーンの中の一部が破断すれば、サプライチェーンはうまく回りません。サプライチェーンの一部でセキュリティキーが流出すれば、システム全体が脆弱で不完全なものとなり、サプライチェーンに関わる事業が危険にさらされる可能性があります。企業のトップがセキュリティは企業存続の根幹にあるものだと訴えていく必要があると思います。

 また、この問題は完璧になってからスタートするのではなく、まずスタートを切ることが重要です。一度の失敗が大変な状況を呼びます。失敗してからではなく、まずスタートを切ってから十分な形に広げていくという意識が重要だと考えています。二の足を踏む製造業の方には「まずスタート」ということを強く訴えたいと思います。



より深く知的財産管理を学ぶには?:「知財マネジメント」コーナーへ

知財マネジメントの基礎から応用、業界動向までを網羅した「知財マネジメント」コーナーでは、知財関連の情報を集約しています。併せてご覧ください。


「知財マネジメント」コーナー 「知財マネジメント」コーナーへ

危機を迎える制御システムのセキュリティ対策とは?:「制御システムセキュリティ」コーナーへ

「制御システムセキュリティ」コーナー

工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.