工場との情報共有会を設けることで、標準化に貢献
情報セキュリティ部と工場が連携する実践策として、月次定例会を開催している。同部と各工場のIT領域の担当グループが、アセスメント実施後の是正・改善対応のフォローアップや、最新の社内外セキュリティ脅威情報・動向などの情報を共有することが目的だ。「是正・改善フェーズ終了のタイミングで、月次定例会の時間を拡張し、OT設備の担当者も参加し、インシデントレスポンス演習を行っています」と髙橋氏は話す。
月次定例会では、リスク対応計画の作成サポートも行っている。是正・改善フェーズで、各工場はまずリスク対応計画を作成した。さらに月次定例会の場で進捗や課題についてディスカッションを重ね、予算・優先度を鑑み、円滑にリスク対応が推進できるよう支援しているという。
「それぞれのリスクに応じ、具体的なスケジュールを決めていきました。たとえば是正・改善フェーズ1年目では、是正のための予算を確保していないことが多いことから、緊急性の高いものや、ピープル/プロセス系の対応をメインに行いました。2年目は、ネットワーク機器増設といったテクノロジー系の是正対策をメインとしました。リスク対応計画の作成は月次定例会で情報セキュリティ部がサポートすることで、適切な対応策や優位付けができ、現実的な対応計画の策定につながります。
また、全工場とタッチポイントを設けたことで、工場ごとに対応する内容に差が出ないよう標準化された是正対応が可能になります。改善策の例の1つが工場の特性を考慮したルール管理手順の整備です。具体的には、資生堂が実施しているセキュリティガイドライン『資生堂セキュリティフレームワーク』内に工場ネットワークゾーンの設定を追記。工場内で保守ベンダーがOT環境に接続する際の管理手順や、ネットワークを拡張する際の対応ルールの策定も行いました。長期間、未使用なUSBやLANは、ポートブロックで使用できないようにしました。検査機器に接続されたPCのようにスタンドアロンで稼働している機器に対しては、定期的なウイルスチェックを行うことをルール化しました」
是正・改善フェーズ2では、テクノロジー系の是正対応を実施した。具体的にはネットワーク再構築を行っているという。ネットワーク機器を新たに購入し、定義した工場ネットワークゾーン設定をもとに、セキュリティを考慮したゾーニング設定をした。
今後、OTセキュリティ対策として、脆弱性情報の一元的管理、IT部門管轄外の端末に関する資産管理を行い、上記機器のセキュリティルールや、OT機器に接続する際などの管理手順の整備を行う計画となっている。
「工場には、検査機器に接続されたPCのように、生産実績を入力する際に利用するために生産現場に用意されたiPadなど、部門独自で購入した端末が数多く存在しています。このような端末を減らし、IT部門で管理している端末に切り替えることも重要ですが、同時にMDMツールへの登録を行うといったルール化も必要になっています。それらの機器に対し、定期的なウイルスチェックを行うセキュリティアップデートを行うなどのルール作りや、OT機器に接続する際の管理手順も今後整備していく必要があります」
