IoT時代の安心・安全を確保するための組織改革――中小企業編：IoT時代の安全組織論（9）（3/3 ページ）

課題③：CSIRT、SOCの管理範囲が、社内ITシステムのみであり、工場は対象外となっている

　図1では、CSIRTの管理範囲に工場を含めているので、工場にガバナンスを効かせることはできているが、そもそも、中小企業は、OTシステムのみならず、ITシステムさえも監視できていないケースが多い。従って、まずはITシステムの監視から始めるべきだろう。

　中小企業のセキュリティ監視対策の1つとして、自社で監視する人材を抱えるのが大変なので、インターネットと社内情報システムの境界のセキュリティ監視をアウトソーシングすることは、一般に広く活用されている^※4）。また、脅威の高まりに応じて、より包括的な監視を行うSOCサービスも一般化してきているので、図1ではSOCサービスを活用する形を取っている。

※4）関連リンク：JSOC IDS/IPS監視サービス - McAfee Network Security Platform

　前回も述べたように、OTの監視サービスの市場形成はまだこれからであるが、ITとOTをまとめて監視する事業者も出てきている^※5）。今後、大企業だけでなく中小企業での活用も進むようになるだろう。

※5）関連記事：ITとOTをトータルで守る統合セキュリティサービス、NTTが提供

課題④：製品に関するサイバーセキュリティの管理を、各事業部門で行っているため、会社としての一貫性がない

　この課題については、図1のCSIRTが、大企業のときに新設した、製品に対するポリシー策定、脆弱性管理、顧客で発生する製品のセキュリティ事故の対応を行う役割をもつP-CERTの機能を兼ねることで解決した。最初のうちは、なかなか十分機能しないかと思われるが、中小企業であれば。主力製品も限られると考えられるので、専門組織を新設するよりは、セキュリティ知識を集約した部署が兼任することが効率的だと考えられる。また、問題を事前に防ぐという意味で、製品開発チームとの密な協力が欠かせない。例えば、製品開発プロセスにおいて、CSIRTによる仕様、設計のチェックを必須とすれば、市場での問題をある程度未然に防ぐことができるだろう。

連載を終えるに当たって

　ここまで約1年、全9回にわたって、製造事業者が、IoT時代の安心・安全を確保するためには、OTシステムの技術的なセキュリティ対策だけでなく、組織的な対策が重要であると確認した上で、経営層の理解の進め方から、組織の変革の方法について順に考察してきた。

　そもそも、本連載を始めるきっかけとなったのは、製造業の現場のセキュリティ対策の現状をヒアリングする中で、セキュリティ担当者が、取りあえずのWindows XP対応といった目の前の問題にとらわれすぎていて、場当たり的な対応になっているのを幾つも目にしたからである。加えて、Web上に、OTシステムの脅威をあおる内容や、技術的な対策の説明は増えてきたものの、この根本問題の解決に取り組む内容が見当たらなかったことが大きな執筆動機となった。

　製造業にとって「IoT時代」というと、どこか展示会で聞くような、ふわふわとした流行語のように聞こえるかもしれないが、制御システムに情報システムの技術を活用する流れ（OTのIT化）は、工場のイーサネット化、汎用OSの採用など、21世紀に入ってから現在まで着々と進んできており、その延長上に「IoT」があると考えると、実に自然な流れだと考えられる。

　結果として、OTのIT化によって、徐々に増大してきたOTシステムへのセキュリティリスクが、現場（工場部門）の対処だけでは難しくなってきていて、組織全体の問題、すなわち経営問題として扱うべき課題へと格上げになっているのが現状だ。

　コスト重視の製造業にとって、価値を生まないOTセキュリティ対策はなかなか取り組みにくい課題かもしれないが、セキュリティ対策を軽視してIoTに取り組むのは、エアバッグを外した自動車でスピードを上げて運転するようなものであり、事故が起こったときの被害が致命的になるおそれがある。本連載が、安心・安全を確保しつつ、IoTの取組を進めたい製造事業者の一助となれば幸いである。

（連載完）