SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

いまこそ変わるITセキュリティ部門

ITセキュリティ部門に必要なのは相互理解と学び合う姿勢 【仮想事例から学ぶDX推進/OT部門編】 

 ITセキュリティ部門は今後どのように変化していくべきかをテーマにした本連載。前回は、DX推進による企業のセキュリティ管理対象の範囲拡大にともなって、ITセキュリティ部門が他部門とどのように関わっていけば良いかについて考えるために、「電気・電子機器」製造分野の仮想企業を設定し、セキュリティ課題の洗い出しを行った。今回は、ITセキュリティ部門がOT部門のセキュリティ対策をどのように支援できるかについて具体例をもとに紹介する。

前提となる仮想企業像や課題などはこちらの記事で確認できます。

OT部門のDXプロジェクトの背景

 XYZ電子は、3つの事業部門があり、すべてのOT(Operational Technology/運用制御技術、以下OT)部門を有しているが、ここでは、映像機器事業部のOT部門のDXプロジェクトである「映像機器部門の生産効率化(IoT/AI)」の実施に向けたセキュリティ対策の検討を例にとって説明する。

 このDXプロジェクトは、経営層の視点では、2025年のグループ連結売上500億円という経営目標を達成するための最重要プロジェクトである。映像機器部門では、組み立て工程後半での基盤のはんだ不良による生産性低下が大きな課題となっており、これらの早期発見のために、画像センサーとクラウド(AI)を活用した不良品検知システムを導入することにした。映像機器事業部のOT部門内に、DXプロジェクトチームが発足しており、システム導入を支援するSIとともにプロジェクト検討を進めている。

 工場から直接クラウドにつなぐことに対しては、現場からセキュリティ上の懸念があったが、経営層の強力な意思のもとに、その反対を押し切ってプロジェクトが進んでいる。OT部門内にセキュリティに詳しい人がおらず、SIからのシステム提案に問題ないかどうかがわからないので助けてほしいという相談をITセキュリティ部門が受けたとしよう。

OT部門との相互理解を進める方法1 脅威シナリオ共有

 このような相談に対して、まずITセキュリティ部門が最初に支援すべきことは、このDXプロジェクトによるセキュリティリスクは何かを、OT部門に正しく認識してもらうことである。つまり、歩留まり向上のため、工場を外部に接続したときに発生するセキュリティ脅威シナリオを検討し、その結果起こりうるリスクを明らかにすることである。その脅威シナリオとリスクの分析結果を図に示した(図1)。

 ここでは、ベンダーの管理するクラウドが攻撃者に乗っ取られて、そこからマルウェアを送り込まれるということを想定している。OT部門の人は、SIから、「ベンダー管理クラウドと工場とはVPNで接続されているから安全です」という説明を受けているかもしれない。しかし、ベンダー管理クラウドが乗っ取られてしまえば、VPN経由で「安全に」マルウェアを運ばれてしまうのだ。このような気づきはITセキュリティ部門の助けがあるからこそ生まれるものだ。

 また、初期導入を検討している工場Aだけでなく、工場B、Cにもマルウェアが拡散するおそれがあり、最悪、すべての工場の操業が停止するというリスクがあるという結果が得られたが、この点もOT部門では気づきにくいリスクだ。このような脅威シナリオのシミュレーションをOT部門の人達を交えて行うことで、ITセキュリティ部門の人たちもOTネットワークについて学ぶことができ、次の対策検討に生かすことができる。

図1:生産効率化(IoT/AI)プロジェクトのセキュリティ脅威シナリオ例(出典:マカフィー)
図1:生産効率化(IoT/AI)プロジェクトのセキュリティ脅威シナリオ例(出典:マカフィー)
[クリックすると拡大]

次のページ
OT部門との相互理解を進める方法2 多層防御の考え方・セキュリティソリューション導入検討

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
いまこそ変わるITセキュリティ部門連載記事一覧

もっと読む

この記事の著者

佐々木 弘志(ササキ ヒロシ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13556 2020/11/10 09:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング