EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ITセキュリティ部門に必要なのは相互理解と学び合う姿勢 【仮想事例から学ぶDX推進/OT部門編】 

edited by Security Online   2020/11/10 09:00

 ITセキュリティ部門は今後どのように変化していくべきかをテーマにした本連載。前回は、DX推進による企業のセキュリティ管理対象の範囲拡大にともなって、ITセキュリティ部門が他部門とどのように関わっていけば良いかについて考えるために、「電気・電子機器」製造分野の仮想企業を設定し、セキュリティ課題の洗い出しを行った。今回は、ITセキュリティ部門がOT部門のセキュリティ対策をどのように支援できるかについて具体例をもとに紹介する。

前提となる仮想企業像や課題などはこちらの記事で確認できます。

OT部門のDXプロジェクトの背景

 XYZ電子は、3つの事業部門があり、すべてのOT(Operational Technology/運用制御技術、以下OT)部門を有しているが、ここでは、映像機器事業部のOT部門のDXプロジェクトである「映像機器部門の生産効率化(IoT/AI)」の実施に向けたセキュリティ対策の検討を例にとって説明する。

 このDXプロジェクトは、経営層の視点では、2025年のグループ連結売上500億円という経営目標を達成するための最重要プロジェクトである。映像機器部門では、組み立て工程後半での基盤のはんだ不良による生産性低下が大きな課題となっており、これらの早期発見のために、画像センサーとクラウド(AI)を活用した不良品検知システムを導入することにした。映像機器事業部のOT部門内に、DXプロジェクトチームが発足しており、システム導入を支援するSIとともにプロジェクト検討を進めている。

 工場から直接クラウドにつなぐことに対しては、現場からセキュリティ上の懸念があったが、経営層の強力な意思のもとに、その反対を押し切ってプロジェクトが進んでいる。OT部門内にセキュリティに詳しい人がおらず、SIからのシステム提案に問題ないかどうかがわからないので助けてほしいという相談をITセキュリティ部門が受けたとしよう。

OT部門との相互理解を進める方法1 脅威シナリオ共有

 このような相談に対して、まずITセキュリティ部門が最初に支援すべきことは、このDXプロジェクトによるセキュリティリスクは何かを、OT部門に正しく認識してもらうことである。つまり、歩留まり向上のため、工場を外部に接続したときに発生するセキュリティ脅威シナリオを検討し、その結果起こりうるリスクを明らかにすることである。その脅威シナリオとリスクの分析結果を図に示した(図1)。

 ここでは、ベンダーの管理するクラウドが攻撃者に乗っ取られて、そこからマルウェアを送り込まれるということを想定している。OT部門の人は、SIから、「ベンダー管理クラウドと工場とはVPNで接続されているから安全です」という説明を受けているかもしれない。しかし、ベンダー管理クラウドが乗っ取られてしまえば、VPN経由で「安全に」マルウェアを運ばれてしまうのだ。このような気づきはITセキュリティ部門の助けがあるからこそ生まれるものだ。

 また、初期導入を検討している工場Aだけでなく、工場B、Cにもマルウェアが拡散するおそれがあり、最悪、すべての工場の操業が停止するというリスクがあるという結果が得られたが、この点もOT部門では気づきにくいリスクだ。このような脅威シナリオのシミュレーションをOT部門の人達を交えて行うことで、ITセキュリティ部門の人たちもOTネットワークについて学ぶことができ、次の対策検討に生かすことができる。

図1:生産効率化(IoT/AI)プロジェクトのセキュリティ脅威シナリオ例(出典:マカフィー)
図1:生産効率化(IoT/AI)プロジェクトのセキュリティ脅威シナリオ例(出典:マカフィー)
[クリックすると拡大]

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 佐々木 弘志(ササキ ヒロシ)

    マカフィー株式会社 サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP 制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産業省 情報セキュリティ対策専門官(非常勤)、2017年7月からは、IPA産業サイバーセキュリティセンターのサイバー技術研究室の専門委員(非常勤)として、産業サイバーセキュリティ業界の発展をサポートしている。

バックナンバー

連載:いまこそ変わるITセキュリティ部門
All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5