積水化学工業は、役員に対して意志決定の演習を実施する一方で、一般従業員に向けてはEラーニングによるセキュリティ研修を実施している。こちらの取り組みもユニークで、サイバーセキュリティに関する問題が出され、全問正解しないと社内システムからインターネットの閲覧が許可されない仕組みを作っている。
このテストは2008年から半年に一度実施されているため、従業員はセキュリティの知識をアップデートしていかなければ、インターネットを利用できない。「アメとムチの考え方だが、このやり方なら100%受講すると思う。アメの部分の設計も非常に重要だ」(原氏)。
原氏は次に、同社のネットワーク構成についても解説した。現在、本社および国内の拠点と製造事業所(工場)の間は「SmileNET」と呼ぶWAN(閉域網)が構築されており、海外事業所を含むそれ以外の接続は、セキュリティを介してインターネットに接続されている。
2025年に事業所間の接続をSmileNETからインターネットに移行し、2030年には工場もインターネット接続に移すことで、SmileNETを廃止する計画だ。原氏は「閉域網は非常に運用コストが高いため、インターネットネイティブへのシフトを進めてコストダウンを図る。同時に、場所を選ばず働ける環境も手に入る」と語る。
製造業としてはITだけでなく現場のOTセキュリティについても非常に重要だ。
「OTセキュリティの基本的な考え方は、本社や営業所などのOA(Office Automation)系のネットワークと直接通信させないことだ。OAのネットワークと物理的に切り離すか、ファイアウォールを介して分離するかのいずれかの方法を採らなければいけない」(原氏)
積水化学工業では、全ての工場にファイアウォールを設置して、それらを集中的にコントロールするツールを内製した。これによって工場が現場で勝手にファイアウォールを操作できないようにして統制を図り、工場ネットワークの安全を確保していた。
しかしコロナ禍に入り、工場の稼働を止めないために外部からの人の侵入を遮断した。これによって、製造装置のメンテナンス事業者などが出入りできなくなり、ネットワーク経由で設備のリモートメンテナンスをしたいという要望が増加した。メンテナンスだけでなく、リモートでIoT機器を介してデータを収集し、それを分析することで運用に生かすことを検討するケースも増えてきた。
そこで同社は工場のネットワークから直接インターネットにつながるクラウドファイアウォールを設置して、OA系のネットワークとは独立して運用している。
「従来各工場で閉じていたネットワークがつながることで、メンテナンス情報や電力消費量などが、工場間で共有できるようになった。将来的に、海外の工場との情報共有にも使えると考えている」(原氏)
積水化学工業はリスクマネジメントの観点から、情報管理を全社重大リスクの一部分と定めている。「火災や災害、不正、法律違反などと同様に、サイバー攻撃やシステムダウン、個人情報、機密情報の漏えいは、企業が負っているリスクの一部だと認識し、リスクマネジメントを進めることが必要だ」(原氏)。
同社を取り巻く全ての全社重大インシデントを、起こりやすさを縦軸、インパクトを横軸にしてプロットしてみると、サイバーセキュリティに関するリスクは右上(つまり起こりやすさもインパクトも大きい)に分類される。これをできるだけ頻度を抑えるか、インパクトを小さくする方向に持っていくことが、リスクマネジメントの考え方である。
積水化学工業がサイバーセキュリティのリスクを管理する体制は、社長が委員長を務める「サステナビリティ委員会」の下に、サイバーセキュリティに対応するCSIRTを設置している。セキュリティの基本方針は、同社のCISO(最高セキュリティ責任者)が委員長を務めるサイバーセキュリティ分科会が策定し、重大インシデントについて協議する。
原氏はサイバーセキュリティ推進部会長として、セキュリティ運用の現場を統括し、担当役員に報告する役割を担っている。
同社規模の企業では、全社の情報管理体制そのものについても、リスクマネジメントを実施する必要がある。同社には情報システム管理者が、国内だけで約500人存在する。異動や退職によって人材が変動する中、各人の役割を引き継ぐことが極めて重要だ。
そこで積水化学工業は専用の管理ツールで情報システム管理者が異動する際は、次の人を指名しない限り、どこに異動しても前の部署の情報システム管理者を辞めることができない仕組みを作った。それによって、全社の末端で起きているセキュリティ事象が漏れなく報告される状態を維持している。
また、セキュリティリスクの管理にはIDとアクセス権の管理も重要だ。同社では全社の統合認証基盤によって多要素認証のID管理を実施している他、利用しているアプリケーションのモニタリングも行っている。
原氏は「インシデントが起きたとき、誰が何のアプリケーションを使っているかを確認するには、ID管理の段階でアクセス管理をしておかないと分からない。当社はこれに加えて部門に応じて、アプリケーションごとの情報へのアクセス権を設定している」と説明する。
今後、海外売上高の大幅な伸張を経営目標に掲げている同社にとって、グローバルレベルのセキュリティ確保は大きな課題である。原氏は「国内で進めてきたセキュリティ対策とリスク管理体制をベースに、海外にも展開していきたい」と話した。
Copyright © ITmedia, Inc. All Rights Reserved.