ITセキュリティ部門は、今後どのように変化していくべきかをテーマにした本連載。前回は、ITセキュリティ部門がOT(Operational Technology/運用制御技術)部門のセキュリティ対策をどのように支援できるかについて、仮想企業における具体例をもとに紹介した。今回は、開発部門のDX製品開発プロジェクトにおけるセキュリティ対策をどのように支援するかについて、同じく仮想企業におけるプロジェクトを例にとって具体的に示す。
前提となる仮想企業像や課題などはこちらの記事で確認できます。
開発部門のDXプロジェクトの背景
XYZ電子の製品開発におけるDXプロジェクト「IoT車載AV製品開発」の背景を説明する。XYZ電子の近年の成長を支える「車載AV機器部門」の主力製品であるカーナビは、高精細なディスプレイやタッチパネルの使用感が、高価格帯市場において評価を受けており、順調に売上を伸ばしてきた。一方で、競合他社のみならず、スマートフォンのナビ機能との差別化が大きなビジネス課題になっており、このままでは将来じり貧になるという危機感が経営層にある。
この状況を打破するため、車載機器ならではの付加価値を、インターネット接続による機能強化や他社との協業により生み出し、製品化することを目的とした「IoT製品研究室」を、車載AV機器事業部の主力開発メンバーを中心に設立した。この研究室は、将来的には他部門のIoT製品の開発にも関わっていく予定だが、当面、2023年までのIoT車載AV機器製品の投入に集中するべく初期検討を開始したところである(図1)。IoT製品研究室のメンバーは、セキュリティの重要性は理解しているものの、セキュリティの専門知識においては皆無に等しく、IoT製品開発におけるセキュリティ対策について、ITセキュリティ部門が相談を受けたとしよう。
開発部門に必要な3つのセキュリティ管理カテゴリー
このような相談に対して、ITセキュリティ部門も、事業部の製品・サービスに関する専門知識が不足しているため、一般的には「いや我々もよくわからない」という回答となりがちである。したがって、まずは、第3回で示したような業務に関連するセキュリティ教育プログラム支援が現実的な出発点となるだろうが、今回は、それを始めた前提で、もう少し踏み込んで、ITセキュリティ部門ができることを検討してみよう。開発部門の製品・サービス開発に関連するセキュリティ管理は、大きく3つのカテゴリーに分けられる。
- 製品・サービス開発プロセスにおけるセキュリティ管理
- 製品・サービス開発環境におけるセキュリティ管理
- 製品・サービスそのもののセキュリティ対策管理
まずは、この3つのカテゴリーのセキュリティ管理が必要なことを開発部門に伝えることができる。その上で、個別のカテゴリーについて、ITセキュリティ部門が開発部門に対して何が支援できるかを順に示す。
この記事は参考になりましたか?
- いまこそ変わるITセキュリティ部門連載記事一覧
-
- DX推進と表裏一体で増すリスク 当事者意識をもって解決に導けるのはITセキュリティ部門のみ
- サプライチェーンリスク管理におけるITセキュリティ部門の関わり方【仮想事例から学ぶDX推進...
- IoT製品開発を進める際のITセキュリティ部門の関わり方【仮想事例から学ぶDX推進/開発部...
- この記事の著者
-
佐々木 弘志(ササキ ヒロシ)
マカフィー株式会社 サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
