SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

いまこそ変わるITセキュリティ部門

DXを阻むITとOT(Operational Technology)の文化の壁を乗り越えるには?

 ITセキュリティ部門は今後どのように変化していくべきかをテーマにした本連載。前回はDX推進にともない、従来の「IT」および「海外拠点」だけではなく、「OT(Operational Technology/運用制御技術、以下OT)」、「製品・サービス」、「サプライチェーン上流」、「サプライチェーン下流」といった領域のセキュリティの重要性が高まっている現状について説明した。今回は、このうちの「OT」を取り上げて、ITセキュリティ部門が「OT」のセキュリティ対策にどのように関わっていくのが良いかについて説明する。

DXを阻むITとOTの文化の違い

 世界中で猛威を振るう新型コロナウイルス感染拡大に対して、人命・経済の被害を最小限とするために、世界中の国々で様々な対策が行われている。都市封鎖を実施して、経済度外視で人との接触を最小限とする施策を取る国もあれば、スウェーデンのように、免疫獲得を目的として、通常の経済活動を続けることを選択した国もある。

 このように、正解がわからない未知のものに対するアプローチは、その国が大切に考えているもの、すなわち「文化」が色濃く反映される。日本にいる私たちから見れば奇異に見える施策も、「誤り」だと捉えるのではなく、文化の違いからくる「違和感」だと捉えて、良いところは積極的に取り入れていくという姿勢が求められるだろう。

 さて、このような文化の違いは、実は皆さんの社内にもあるのだといったら驚かれるだろうか。それは、ITとOT(参考リンク)との文化の違いである。各国のコロナ対策の違いと比較するのは、少し大げさに聞こえるかもしれないが、むしろ、「同じ日本にいるから、同じ社内だからわかるはず」という先入観が邪魔をして、素直に違いを認められないという点では、解決がより難しい問題といえる。実際に、この「ITとOTの文化の壁」ともいうべき課題は、企業のDXを阻む一因となっている。

ITとOTの文化の壁をまずは認識すること

 近年のOTシステムへのランサムウェア脅威の増加とDX推進の会社方針により、経営層から、「OT」のセキュリティ対策を指示されているITセキュリティ部門は多いだろう。しかし、ITセキュリティ部門が主導してOT向けのセキュリティポリシーを策定したものの、現場で守られずに形骸化していたり、OT部門の理解が得られず、OTシステムへのセキュリティ対策の導入が頓挫したりするなど、ITとOTの相互理解不足が原因で、プロジェクトの推進に苦労しているケースをよく耳にする。

 もちろん、プロフィットセンターであるOT部門のほうが、コストセンターであるITセキュリティ部門よりも社内のパワーバランスが強く、ガバナンスを効かせにくいという点も一因ではある。しかしそれ以前に、お互いに感じる「ITとOTの文化の壁」が、プロジェクト推進を阻む大きな要因であるようだ。

 では、「ITとOTの文化の壁」とは具体的にはなんなのか。OTからIT業界に転職した私自身の体験をもとにお話しよう。元々、OTシステムを開発していた私が、IT業界のセキュリティベンダーに転職した直後に、最初に感じたITとOTの違いは、「使用する言葉」である。

 IT業界では、たとえば、SASE(※1)のように、新しい専門用語の短縮したものが、次々と生まれ、相手が当然知っているものとして会話に用いる傾向がある。入社した当初の私は、ITの人にとっては当たり前の短縮語がわからず、非常にとまどった覚えがある。また、資料に「FW」と書いてあれば、OTの人にとっては制御機器のファームウェア(firmware)の略記であるが、セキュリティの人にとっては、ファイアウォール(firewall)のことであり、同じ用語でもITとOTとで意味が違うことがしばしばある。

 次に感じた違いは、「スピードと完成度」に対する価値観である。IT業界、特にセキュリティ業界では、攻撃者の進化が非常に速く、防御技術がすぐに陳腐化する傾向にあるため、完成度をあげるよりも、スピードを重視する。一方、OT業界では、利用する装置やシステムが、ITに比べて長く使われる傾向があるため、スピードよりも完成度を重視する。どちらが正しいというわけではなく、単にそれぞれの業界が直面している環境に適応しているだけである。

 このような文化の違いを感じることは他にもある(図1)。この文化の違いは、大きな壁となって、社内でOTセキュリティ対策を進めるときの障害となっている。たとえば、システムにセキュリティパッチを当てることは、ITの人にとっては当たり前だが、OTの人にとっては、変更を加えた結果、システムが停止してしまうリスクがあるために、パッチをあてることには慎重になる。

 本来は、パッチが対応するセキュリティリスクとシステム可用性の影響のバランスをみて判断するなど、双方が会話して決めるべき内容なのだが、「なぜこんな当たり前のことがわからないのか」とか「現場が非協力的で仕事が進まない」などと感情的な対立となってしまうのだ。

 ITとOTの両方の事情がわかる私から見れば、どちらの言い分にも正当性がありバランスの問題だと感じる。両方がお互いの事情をわかるまで、何度も話し合う以外に道はないのである。

図1:ITとOTの文化の違いまとめ(出典:マカフィー)
図1:ITとOTの文化の違いまとめ(出典:マカフィー)

※1 Secure Access Service Edge:ネットワーク機能とセキュリティ機能をまとめて提供する製品カテゴリ、サッシ―と発音する

次のページ
プロジェクトを通じて互いに学び合うこと

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
いまこそ変わるITセキュリティ部門連載記事一覧

もっと読む

この記事の著者

佐々木 弘志(ササキ ヒロシ)

マカフィー株式会社 サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13319 2020/08/25 09:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング