SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2024 秋の陣レポート

“国内回帰”の資生堂が警戒する「OTセキュリティ」──全5拠点の工場と一体の体制構築で標準化を推進

生成AI活用には独自ワークフローの整備でリスク低減を模索

 スキンケアやメイクアップなど化粧品事業を手がける資生堂は、「BEAUTY INNOVATIONS FOR A BETTER WORLD(美の力でよりよい世界を)」をミッションに事業展開を行っている。同社が最近注力しているのがOT(オペレーション・テクノロジー)セキュリティの強化とAI活用だ。昨今OTに対してもサイバー攻撃が行われるようになっていることから、2021年以降、工場セキュリティ強化に着手した。生成AIについても国内、グローバルともにリスクを考慮しながら活用を進めているという。資生堂のOTセキュリティとAI活用の取り組みを紹介する。

生産拠点の国内新設と高まるサイバー規制が後押しに

 資生堂がOTセキュリティ強化を進めるきっかけとなったのは、国内工場3拠点の新設だったという。同社は2019年に那須工場、2020年に大阪茨木工場、2022年に福岡久留米工場を立ち上げており、「メイド・イン・ジャパン」の価値づくりにこだわっている。

 「資生堂は日本生産による商品作りにこだわり、海外生産に加え、国内は1939年に設立された大阪工場、1975年に設立された静岡の掛川工場を合わせた5拠点での生産・供給を行っています」と話すのは、資生堂の情報セキュリティ部に所属する髙橋宏美氏だ。髙橋氏は2018年に資生堂に入社後、情報セキュリティ部に所属し、国内新工場稼働プロジェクト、工場向けITトレーニング、OTセキュリティアセスメントなどを担当してきた。OTセキュリティアセスメントを実施する背景を次のように説明する。

 「1つ目は工場のIT活用促進です。新工場では、IoTやAIなど、最新技術を取り入れた最先端工場を目指し、工場とインターネット、クラウドとの接続箇所が増加しています。さらにコロナ禍以降、OT機器を遠隔からリモートメンテナンスするケースも増え、脅威侵入リスクが高まっています。

 2つ目は、標的型サイバー攻撃が高度化され、ランサムウェア被害の拡大が進んでいることです。工場もIoT化が進み、OTシステムがインターネットに接続することで、ITシステム同様、マルウェアやランサムウェアなどの脅威にさらされています。

 3つ目の要因は、グローバルのサプライチェーンリスク規制への対応です。世界各国で工場向けのセキュリティガイドラインが強化されています。2023年に米国で公表された『国家サイバーセキュリティ戦略』、2022年にEUで公表された『EU Cyber Resilience Act』、日本でも経済産業省主導による業界単位でのガイドラインが制定されました。各国のガイドラインに対応できない企業は、サプライチェーンから弾き出される恐れがあり、資生堂もセキュリティアセスメントが不可欠と考えました」

画像を説明するテキストなくても可
株式会社資生堂 情報セキュリティ部 髙橋宏美氏

国内全5拠点の工場アセスメントを実施 説明には一工夫も

 資生堂が実施したOTセキュリティアセスメントのプロセスは以下の通りだ。

 「大きく2つのフェーズに分かれます。1つ目のフェーズはリスクアセスメント実施フェーズ。もう1つのフェーズは是正・改善フェーズです」

画像を説明するテキストなくても可
クリックすると拡大します

 アセスメントは、リモートによるヒアリングと現地調査を組み合わせ、1工場あたり6ヵ月~9ヵ月で実施する。2021年からスタートして2023年には全5拠点のアセスメントが完了したが、その際に情報セキュリティ部と工場の連携が重要なポイントとなったという。

 「情報セキュリティ部門は、全工場を現地訪問し、工場長にトップレクチャーを行いました。生産責任者に対しては、別途、工場セキュリティアセスメント説明会を実施しています。あえて説明を分けたのは、工場長と生産責任者ではそれぞれ理解してもらいたい内容、不明に感じている点が異なるからです。

 工場長には、なぜ今、工場にセキュリティ対策が必要なのかといったハイレベルな内容を理解してもらうことが重要です。OTセキュリティの重要性をメインに説明を行い、工場の目標実現のためには情報セキュリティ対策が必須である旨を説明し、理解してもらいました。一方で生産責任者は、このアセスメント活動が生産業務に影響がないのか、どの時期にどのぐらいのリソースが必要になるかといったことを気にしていました。そこで工場の役割や責任、アセスメントの流れを重点的に説明。必要な人員を前もって確保してもらい、工場内のセキュリティ体制を早期に構築することができました」

次のページ
工場との情報共有会を設けることで、標準化に貢献

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2024 秋の陣レポート連載記事一覧

もっと読む

この記事の著者

三浦 優子(ミウラ ユウコ)

日本大学芸術学部映画学科卒業後、2年間同校に勤務。1990年、コンピュータ・ニュース社(現・BCN)に記者として勤務。2003年、同社を退社し、フリーランスライターに。IT系Web媒体等で取材、執筆活動を行なっている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20644 2024/11/06 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング