EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

DXを阻むITとOT(Operational Technology)の文化の壁を乗り越えるには?

edited by Security Online   2020/08/25 09:00

 ITセキュリティ部門は今後どのように変化していくべきかをテーマにした本連載。前回はDX推進にともない、従来の「IT」および「海外拠点」だけではなく、「OT(Operational Technology/運用制御技術、以下OT)」、「製品・サービス」、「サプライチェーン上流」、「サプライチェーン下流」といった領域のセキュリティの重要性が高まっている現状について説明した。今回は、このうちの「OT」を取り上げて、ITセキュリティ部門が「OT」のセキュリティ対策にどのように関わっていくのが良いかについて説明する。

DXを阻むITとOTの文化の違い

 世界中で猛威を振るう新型コロナウイルス感染拡大に対して、人命・経済の被害を最小限とするために、世界中の国々で様々な対策が行われている。都市封鎖を実施して、経済度外視で人との接触を最小限とする施策を取る国もあれば、スウェーデンのように、免疫獲得を目的として、通常の経済活動を続けることを選択した国もある。

 このように、正解がわからない未知のものに対するアプローチは、その国が大切に考えているもの、すなわち「文化」が色濃く反映される。日本にいる私たちから見れば奇異に見える施策も、「誤り」だと捉えるのではなく、文化の違いからくる「違和感」だと捉えて、良いところは積極的に取り入れていくという姿勢が求められるだろう。

 さて、このような文化の違いは、実は皆さんの社内にもあるのだといったら驚かれるだろうか。それは、ITとOT(参考リンク)との文化の違いである。各国のコロナ対策の違いと比較するのは、少し大げさに聞こえるかもしれないが、むしろ、「同じ日本にいるから、同じ社内だからわかるはず」という先入観が邪魔をして、素直に違いを認められないという点では、解決がより難しい問題といえる。実際に、この「ITとOTの文化の壁」ともいうべき課題は、企業のDXを阻む一因となっている。

ITとOTの文化の壁をまずは認識すること

 近年のOTシステムへのランサムウェア脅威の増加とDX推進の会社方針により、経営層から、「OT」のセキュリティ対策を指示されているITセキュリティ部門は多いだろう。しかし、ITセキュリティ部門が主導してOT向けのセキュリティポリシーを策定したものの、現場で守られずに形骸化していたり、OT部門の理解が得られず、OTシステムへのセキュリティ対策の導入が頓挫したりするなど、ITとOTの相互理解不足が原因で、プロジェクトの推進に苦労しているケースをよく耳にする。

 もちろん、プロフィットセンターであるOT部門のほうが、コストセンターであるITセキュリティ部門よりも社内のパワーバランスが強く、ガバナンスを効かせにくいという点も一因ではある。しかしそれ以前に、お互いに感じる「ITとOTの文化の壁」が、プロジェクト推進を阻む大きな要因であるようだ。

 では、「ITとOTの文化の壁」とは具体的にはなんなのか。OTからIT業界に転職した私自身の体験をもとにお話しよう。元々、OTシステムを開発していた私が、IT業界のセキュリティベンダーに転職した直後に、最初に感じたITとOTの違いは、「使用する言葉」である。

 IT業界では、たとえば、SASE(※1)のように、新しい専門用語の短縮したものが、次々と生まれ、相手が当然知っているものとして会話に用いる傾向がある。入社した当初の私は、ITの人にとっては当たり前の短縮語がわからず、非常にとまどった覚えがある。また、資料に「FW」と書いてあれば、OTの人にとっては制御機器のファームウェア(firmware)の略記であるが、セキュリティの人にとっては、ファイアウォール(firewall)のことであり、同じ用語でもITとOTとで意味が違うことがしばしばある。

 次に感じた違いは、「スピードと完成度」に対する価値観である。IT業界、特にセキュリティ業界では、攻撃者の進化が非常に速く、防御技術がすぐに陳腐化する傾向にあるため、完成度をあげるよりも、スピードを重視する。一方、OT業界では、利用する装置やシステムが、ITに比べて長く使われる傾向があるため、スピードよりも完成度を重視する。どちらが正しいというわけではなく、単にそれぞれの業界が直面している環境に適応しているだけである。

 このような文化の違いを感じることは他にもある(図1)。この文化の違いは、大きな壁となって、社内でOTセキュリティ対策を進めるときの障害となっている。たとえば、システムにセキュリティパッチを当てることは、ITの人にとっては当たり前だが、OTの人にとっては、変更を加えた結果、システムが停止してしまうリスクがあるために、パッチをあてることには慎重になる。

 本来は、パッチが対応するセキュリティリスクとシステム可用性の影響のバランスをみて判断するなど、双方が会話して決めるべき内容なのだが、「なぜこんな当たり前のことがわからないのか」とか「現場が非協力的で仕事が進まない」などと感情的な対立となってしまうのだ。

 ITとOTの両方の事情がわかる私から見れば、どちらの言い分にも正当性がありバランスの問題だと感じる。両方がお互いの事情をわかるまで、何度も話し合う以外に道はないのである。

図1:ITとOTの文化の違いまとめ(出典:マカフィー)
図1:ITとOTの文化の違いまとめ(出典:マカフィー)

※1 Secure Access Service Edge:ネットワーク機能とセキュリティ機能をまとめて提供する製品カテゴリ、サッシ―と発音する

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 佐々木 弘志(ササキ ヒロシ)

    マカフィー株式会社 サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP 制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産業省 情報セキュリティ対策専門官(非常勤)、2017年7月からは、IPA産業サイバーセキュリティセンターのサイバー技術研究室の専門委員(非常勤)として、産業サイバーセキュリティ業界の発展をサポートしている。

バックナンバー

連載:いまこそ変わるITセキュリティ部門
All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5