まずは現状の見える化からスタートし、運用できるポリシーの整備を
Q:難しさばかりが目立つ状況ですが、どこからどのように対策に取り組めばいいのでしょうか。
椿田氏:まず、現状の構成を正しく認識することがスタートです。さらに、それらを役割に応じて「ゾーン」ごとに区別していきます。見える化こそが何を置いても最優先でやらなければいけないことであり、それを知った上ではじめて、リスクがどこにあるかが見え、対策をどうするかが見えてきます。
しかし、実際に現場を見せていただいた時にいつも感じることなのですが、正確に現状を把握されているところはほとんどありません。最初に作った構成図からアップデートがされておらず、いつの間にか知らない機器がつながっているケースがよくあり、そこが脆弱性になっています。
Q:この作業を人海戦術でやるのは大変そうです。
椿田氏:人が動く必要もありますが、ネットワークにつながっているIPアドレスを探索し、図面には載っていない機器を見つけ出すツールもあります。ベリサーブでもそうしたツールを活用しながら、まず見える化の整備からお手伝いしています。
その次は、さまざまな省庁や業界団体が出しているガイドラインを参照しつつ、自分たちの指針となるポリシーを作ることです。ただ、「すでに作成しています」とおっしゃるお客様は多いのですが、ポイントはそれがきちんと運用されているかどうかです。
そして、CERTやCSIRT、FSIRTなどと呼ばれる、セキュリティインシデントが発生した際にすぐに措置し、被害を封じ込めるためのチームを組織していきます。このチームが中心となってインシデントが発生してもすぐに対処する事後処理体制を整え、さらに、インシデントを未然に防ぐ予防保全につなげていく、そんなサイクルを整備していくことになるでしょう。
受注者ではなくモノ作りの仲間、豊富な経験を元に現場に即した支援を提供
Q:こうした取り組みを、ベリサーブはどのように支援していくのでしょうか。
椿田氏:先ほど、ポリシーを作っても、大事なのはそれが守れるかどうかだと申し上げました。守れない机上のポリシーを作っても意味がありません。
我々ベリサーブは、創業以来多くの製造業のお客様とお付き合いし、多くのことを学んできました。その知見を元に、お客様の目線で、お客様のところで使えるポリシーを作り、お客様に受け入れやすい提案ができるところが我々の価値だと思っています。現に、自動車メーカー様などから、現場に即した提案が喜ばれ、次もぜひお願いしたいという声をいただいています。
工場システムセキュリティ対策の課題
Q:それはなぜ実現できるのでしょう。
椿田氏:元々ベリサーブは、製品の品質を評価する検証・テストを業務とし、モノ作りの現場に入り込み、膝をつき合わせてお話ししながら支援してきました。このため、現場でどんなことが必要なのかといった情報やノウハウを豊富に持っています。何より、発注者と受注者の関係というよりも、一緒にモノを作る仲間という立場で、モノ作りにこだわっているのがベリサーブの特徴だと思います。
Q:モノ作りの経験がある方も多そうですね。
椿田氏:私自身、前職では半導体のメーカーに所属していました。日本の製造業を引っ張ってきた自負がありますが、そうやって培ってきたものを壊すというつらい思いもしました。ベリサーブに入社した今、もう一度日本の製造業を強くして恩返ししたいという思いがあります。そのために、私たちが培ってきた製造業に関する知識と、IAMをはじめとするセキュリティソリューションを組み合わせ、日本の製造業をベースアップし、バックアップしていきたいという思いで取り組んでいます。
Q:最後に、この先の展望を聞かせください。
椿田氏:製造業はサプライチェーンなしに成り立ちません。最近では、そのサプライチェーンがインターネットでつながっていく時代になっていますが、つながるということはそこにリスクが発生することを意味します。
ある一社の工場がサイバー攻撃の影響を受けると、その問題がサプライチェーン全体にどんどん拡散し、ワールドワイドな問題になってしまいます。従って、企業規模の大小にかかわらず、セキュリティ対策は必要なものになります。ベリサーブはそこをセキュアにし、日本の、ひいてはアジア圏やワールドワイドの製造業をしっかり守っていくことが責務だと考えています。
ソリューション事業部 ソリューション技術開発課 コンサルティング推進分室 分室室長 椿田 収氏(右)
ソリューション事業部 ソリューション技術開発課 コンサルティング推進分室 丸谷 久子氏(左)
