「工場セキュリティ」強化に立ち上がる──資生堂を中心とした10社の実務者が“平時の訓練”を提言

1社でIR訓練を定期的に実施するのは困難

　今回、発表を行ったのは資生堂の情報セキュリティ部に所属する大林世昇氏。資生堂はグローバルで11、国内には5つの製造拠点を持つ。工場セキュリティへの取り組みとして、セキュリティ部門の担当者が工場を訪問し、コミュニケーションによって最新の脅威動向、セキュリティの重要性をアピールする活動をスタートした。その後、工場セキュリティアセスメント、工場セキュリティIR（インシデントレスポンス）訓練などを実施している。サイバー脅威に直面した際の対応レベルを上げるために、平時からセキュリティ訓練も行っているという。大林氏は「訓練で使用するシナリオは、実際の現場をよく理解した実務者が考えることで、リアリティが増し、IR訓練効果が高まります」と指摘する。

　さらに大林氏は、IR訓練効果を高めるために資生堂が実施している方法を紹介した。

　「資生堂では、社内でセキュリティ被害が発生してしまったという仮の未来を描いたオリジナルの短編動画も制作しています。こういった動画を、IR訓練開始前に参加者に視聴してもらうことで、参加者の没入感を高めることができ、効果もさらに大きくなると思っています」

　しかし、IR訓練実施は容易ではない。

　「工場セキュリティIR訓練を行った後、参加者にはアンケートを実施しています。その回答を見ると、今後も異なるシナリオで定期的に訓練を受講したいというコメントが多数ありました。しかし、ゼロからシナリオを考え、訓練の準備をすることはかなり骨が折れる作業です。そもそも準備の大変さを考えると、訓練を実施すること自体難しいと考えている組織もあるのではないかと考えました」

　大林氏はこの経験から、企業が高いセキュリティレベルを維持し、ビジネスを安定的に継続していくためには、もはや「自社」だけでは困難な時代に入っているのではないかと思い至ったと話す。同じような悩みを抱える企業同士が自社の経験や、脅威情報などを互いに持ち寄り、日本全体でセキュリティレベル向上を目指すことが必要だと訴える。

　自社の経験を活用した「自助」に、企業の枠を越え、互いに情報や知恵を共有し合い、全体のレベルを高める「共助」、さらに経済産業省、IPA、JPCERT/CCなどのリソース・支援を活用する「公助」のこれらをフルに活用する。この3つを組み合わせることで、日本企業のセキュリティレベル向上を目指す考えだ。

　「ちょうどJPCERT/CCの中に、製造業のICS（産業用制御システム）セキュリティ担当者コミュニティができました。そのコミュニティで、工場セキュリティのIR訓練、もしくは工場セキュリティ活動をテーマとしたワーキンググループを立ち上げたいと提案しました。参加者を募ると10社が賛同し、2023年7月にスタートさせました。製造現場を持つ事業会社からの意見を盛り込み、日常で容易に取り組むことができるIR訓練を提案することを活動の主軸としています」

工場セキュリティの実務担当者が集まりワーキンググループ結成

　ワーキンググループの名称は「FSIRT（Factory Security Incident Response Team）訓練やろうの会」。今回のカンファレンスには10社の中から、資生堂の大林氏に加え、積水化学工業 高機能プラスチックスカンパニー デジタル変革推進部係長の柴田卓也氏、パナソニック オートモーティブシステムズ 開発本部プラットフォーム開発センターセキュリティ開発部 主任技師の越智直紀氏も登壇した。ここからはパネルディスカッション形式で、各社のSIRT体制、ワーキンググループでの活動を発表した。

　パナソニック オートモーティブシステムズは、主に車載システムを扱っており、ソフトウェア、ネットワーク接続製品などを開発している。パナソニックグループの中で、売上の16％が同社だという。工場を含めた拠点は、国内4拠点、それから北米、欧州、アジアなど各地にある。越智氏は「パナソニックグループは工場セキュリティに積極的に取り組んでいます。さらに弊社の場合、車載業界独特の背景や状況があります」と話す。

　積水化学工業は、住まい・社会のインフラ創造とケミカルソリューション領域と幅広い事業領域を持っていることが特徴だ。柴田氏が所属する高機能プラスチックスカンパニーは、高付加価値材料を開発することで、スマートフォン、半導体といったエレクトロニクス領域、自動車、航空機・ドローンなどモビリティ領域、暮らしや産業用のインダストリアル領域と様々な領域で活用されている。同社は国内外の生産拠点が40以上にのぼる。「IT領域だけでなく、OT領域のセキュリティ強化も進めるべく、現在、仕組みや体制構築に力を入れています」と柴田氏。