SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

酒井真弓の『Enterprise IT Women』訪問記

何かあったときに相談できるかが分かれ道に。住友化学のセキュリティホープが訴える「多様性」の重要さ

第12回:住友化学 IT推進部 門田あおいさん

 総合化学メーカーの住友化学でサイバーセキュリティを担う門田あおいさんは、オフィスに加え、工場のセキュリティ強化にも取り組んでいる。一般的に工場の産業用制御システムは、インターネットに接続しないことを前提に設計されたものが多く、セキュリティは後回しにされてきた領域だ。しかし、工場のDXやIoT化により、サイバー攻撃の標的となるリスクが高まっている。

大切なのは「クリックしてしまった後のアクション」

酒井真弓(以下、酒井):セキュリティ担当者としてどんなことを意識しているのでしょうか。

門田あおい(以下、門田):技術・組織・教育など多面かつ多層的に守ることです。全部大事ですが、特に最近では、社員を狙った攻撃が非常に大きな課題となっています。

 標的型攻撃は、メールやスマートフォンへのショートメッセージなどが入り口になるケースが少なくありません。顧客や取引先などを装って悪意ある添付ファイルを開かせたり、URLをクリックさせてマルウェアに感染させたりなど、非常に単純な方法で情報が奪われ、大きな損害につながってしまう可能性があるのです。そこで弊社では、研修やeラーニングなどでセキュリティ知識を身につけてもらう座学に加え、標的型メール訓練で怪しいURLをクリックしてしまったときの対応など、適切なアクションを取ってもらうための訓練を実施しています。

 オフィスだけではなく、工場でも同じように実践的な訓練を実施して、セキュリティ意識を高めています。工場のシステムの場合、ひとたびセキュリティインシデントが起きると生産が止まってしまう可能性もあるのです。そのため、サイバーセキュリティの対応も、「安全をすべてに優先させる」という基本理念のもと進めていて、通報や対応の流れ、CSIRT(Computer Security Incident Response Team)の構築など体制を整えています。

酒井真弓(以下、酒井):標的型メール訓練のアンチパターンとして、怪しいメールを開かせないことを重視するあまり、開いてしまった後どうするかがあまり周知されていないケースがあると聞いたことがありますね。

門田:以前は、変な日本語だったり文字化けしていたりして、誰がどう見ても怪しかったので、開かせない訓練も必要だったのかもしれません。しかし今は、攻撃側のスキルも高度化していて、見破るのが難しくなっています。メールを開かなくて済むのが一番ですが、メールを開いてURLをクリックしてしまった後どうするかのほうがより重要です。実践的な訓練を通して被害を最小限にとどめ、復旧する力(レジリエンス)を養うことが、真の意味でのセキュリティ強化につながると思っています。

画像を説明するテキストなくても可
住友化学 IT推進部 門田あおいさん

「あれ?」と思ったら気軽に報告できる空気を醸成

酒井:様々な訓練を通して、最も重視しているポイントは何ですか?

門田:「報告を身近なものにすること」です。CSIRTの連絡先って皆さんの会社ではどこに書いてありますか? 社内ポータルサイトに載っていることが多いと思うのですが、焦っているときにそれを思い出せるかというと、難しい方も多いのではないでしょうか。CSIRTを構築して体制を整えても、現場が「あれ?」と思ったときにすぐ知らせてくれなければ、初動対応が後手に回ってしまいます。

酒井:「やっちゃった」とか「しかられる」みたいな怖さもあって、言い出せない方もいますよね。

門田:ですから、訓練を重ねて、「ちょっとでもおかしいと思ったらすぐに報告してくださいね」と何度も伝えることで、気軽に報告できる空気を作っています。一番怖いのは、何事もなかったかのように隠されてしまうことです。報告のハードルを下げることは本当に重要だと思います。

次のページ
あらゆるリスクを勘案する、工場のインシデント対応

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
酒井真弓の『Enterprise IT Women』訪問記連載記事一覧

もっと読む

この記事の著者

酒井 真弓(サカイ マユミ)

ノンフィクションライター。アイティメディア(株)で情報システム部を経て、エンタープライズIT領域において年間60ほどのイベントを企画。2018年、フリーに転向。現在は記者、広報、イベント企画、マネージャーとして、行政から民間まで幅広く記事執筆、企画運営に奔走している。日本初となるGoogle C...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17734 2023/06/01 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング