EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

IoT製品開発を進める際のITセキュリティ部門の関わり方【仮想事例から学ぶDX推進/開発部門編】

edited by Security Online   2020/11/20 09:00

 ITセキュリティ部門は、今後どのように変化していくべきかをテーマにした本連載。前回は、ITセキュリティ部門がOT(Operational Technology/運用制御技術)部門のセキュリティ対策をどのように支援できるかについて、仮想企業における具体例をもとに紹介した。今回は、開発部門のDX製品開発プロジェクトにおけるセキュリティ対策をどのように支援するかについて、同じく仮想企業におけるプロジェクトを例にとって具体的に示す。

前提となる仮想企業像や課題などはこちらの記事で確認できます。

開発部門のDXプロジェクトの背景

 XYZ電子の製品開発におけるDXプロジェクト「IoT車載AV製品開発」の背景を説明する。XYZ電子の近年の成長を支える「車載AV機器部門」の主力製品であるカーナビは、高精細なディスプレイやタッチパネルの使用感が、高価格帯市場において評価を受けており、順調に売上を伸ばしてきた。一方で、競合他社のみならず、スマートフォンのナビ機能との差別化が大きなビジネス課題になっており、このままでは将来じり貧になるという危機感が経営層にある。

 この状況を打破するため、車載機器ならではの付加価値を、インターネット接続による機能強化や他社との協業により生み出し、製品化することを目的とした「IoT製品研究室」を、車載AV機器事業部の主力開発メンバーを中心に設立した。この研究室は、将来的には他部門のIoT製品の開発にも関わっていく予定だが、当面、2023年までのIoT車載AV機器製品の投入に集中するべく初期検討を開始したところである(図1)。IoT製品研究室のメンバーは、セキュリティの重要性は理解しているものの、セキュリティの専門知識においては皆無に等しく、IoT製品開発におけるセキュリティ対策について、ITセキュリティ部門が相談を受けたとしよう。

図1:IoT 車載AV機器 初期検討イメージ(出典:マカフィー)
図1:IoT 車載AV機器 初期検討イメージ(出典:マカフィー)

開発部門に必要な3つのセキュリティ管理カテゴリー

 このような相談に対して、ITセキュリティ部門も、事業部の製品・サービスに関する専門知識が不足しているため、一般的には「いや我々もよくわからない」という回答となりがちである。したがって、まずは、第3回で示したような業務に関連するセキュリティ教育プログラム支援が現実的な出発点となるだろうが、今回は、それを始めた前提で、もう少し踏み込んで、ITセキュリティ部門ができることを検討してみよう。開発部門の製品・サービス開発に関連するセキュリティ管理は、大きく3つのカテゴリーに分けられる。

  1. 製品・サービス開発プロセスにおけるセキュリティ管理
  2. 製品・サービス開発環境におけるセキュリティ管理
  3. 製品・サービスそのもののセキュリティ対策管理

 まずは、この3つのカテゴリーのセキュリティ管理が必要なことを開発部門に伝えることができる。その上で、個別のカテゴリーについて、ITセキュリティ部門が開発部門に対して何が支援できるかを順に示す。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 佐々木 弘志(ササキ ヒロシ)

    マカフィー株式会社 サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP 制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産業省 情報セキュリティ対策専門官(非常勤)、2017年7月からは、IPA産業サイバーセキュリティセンターのサイバー技術研究室の専門委員(非常勤)として、産業サイバーセキュリティ業界の発展をサポートしている。

バックナンバー

連載:いまこそ変わるITセキュリティ部門
All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5