製造業は現在、超分散化したインフラ環境によって連携するサプライチェーンのセキュリティリスクにどう対処すべきかに悩まされています。その一方で、インフラ環境を先進的に見直している企業は、セキュリティ人材が不足する中においても、セキュリティ運用の自動化にとどまらず、AIOpsを視野に入れて取り組みを進めています。
本連載の1回目では全社視点、2回目では現場視点でセキュリティ運用の方向性を示してきました。最終回の本稿では、インフラ環境の大胆な変化を目指す場合の戦略の考え方や、自社でも実践に取り組んでいるAIOpsについて解説していきます。
デジタル化で拡大するサプライチェーンリスクと人材不足
製造業のサプライチェーンは、ピラミッド型になっていることが少なくありません。例えば自動車産業の場合、頂点に位置するのが完成車メーカー(サプライヤーから見るとOEM)で、そこに部品を直接納品するTier1サプライヤー、Tier1に納品するTier2、Tier3と続く階層が形成されています。このような関係性の場合、サプライヤーはOEMが要求する基準に合わせて製品を製造します。
世の中のデジタル化に合わせて、製造業者が作る製品でもソフトウェアの数が相対的に多くなってきています。また、サプライチェーン間における伝票などのやりとりはデジタル化され、ソフトウェアで処理されています。この状況はクラウド活用やエンドポイントの増加、ネットワークの多様化によって「超分散化」したインフラ環境の上にサプライチェーンが乗っていると表現できるでしょう(超分散化については第1回で解説しています)。
インフラが超分散化すると、アタックサーフェース(攻撃対象領域)が広がり、情報漏えいやサイバー攻撃のリスクが高まります。一方でグローバルビジネスを展開する製造業の場合、オペレーションが地域や国ごとに分かれる傾向にあり、リスクにはガバナンスを効かせて対応する必要があります。しかし、それをどう実施するか各社ごとに悩んでいるのが実態です。例えば、手作業で行っている処理をデジタル化することでガバナンスを強化したくても、これを担える人材が足りていません。
それを受けてOEM側が、つながりの強固なサプライチェーンの中から人材やノウハウが不足している事情をくんで、取り組みを進めるケースが出てきました。あるメーカーは、ソフトウェアを納品するサプライチェーンにおいて共通の開発プラットフォームを用意し、その上でサプライヤーなどのステークホルダーが作業を行う仕組みを設けています。OEMからガバナンスを要求するだけでなく、それを実践できるようにサポートするケースが出てきており、それは製造する対象がソフトウェアに限りません。
合併・買収(M&A)でグループ会社や事業が増減した場合のガバナンスに悩む企業も見受けられます。筆者らが所属するシスコシステムズもM&Aを繰り返しており、M&Aに際してインフラ環境をどうすべきなのかという問い合わせが寄せられることがあります。買収した企業のブランドやマーケットを損なわないようにガバナンスを効かせてセキュリティを強化しなければならず、さらに売却した企業を自社のITインフラからうまく切り離すこともガバナンスの維持には必要だからです。
