セキュリティインシデントにつながる異変に気付き、報告できる人を育てるにはどうすればいいのか。工場とオフィスでサイバーレジリエンスの強化を実践している企業が内情を語った。
この記事は会員限定です。会員登録すると全てご覧いただけます。
脅威の侵入を完全に防ぐことが難しくなっている昨今、万が一に備え、変化する状況に適応しながら迅速にビジネスを復旧させる力“サイバーレジリエンス”能力を向上させることが企業には求められている。
だがサイバーレジリエンスをしっかりと実践できている企業はそう多くないのが実態だ。本稿ではシステムだけでなく組織構築から人的対策まで含めた住友化学のサイバーレジリエンス強化事例を紹介する。
本稿は、アイティメディア主催イベント「ITmedia Security Week 2023 秋(2023年8〜9月実施)における門田 あおい氏(住友化学 IT推進部 セキュリティグループ)氏の講演を編集部で再構成した。
住友化学は1913年に創業した化学メーカーだ。エッセンシャルケミカルズ、エネルギー・機能材料、情報電子化学、健康・農業関連事業、医薬品の5つの事業を展開し、2022年度売上収益は2兆8953億円に達する。身近な商品・製品としては家庭用殺虫剤の有効成分やスマートフォンの光学機能性フィルムやタッチセンサーパネル、水族館のアクリルパネルなどの素材・部材がある。
国内では、青森から大分までさまざまな拠点で幅広い産業や人々の生活を支える素材を開発・製造・販売している。また、海外にも75拠点を構え、世界中に製品を展開するグローバル企業となっている。サイバーセキュリティに関する取り組みで近年重視しているのがサイバーレジリエンスだ。
門田氏は「サイバー攻撃は年々増加し、また、技術的にも極めて巧妙化しています。企業として、セキュリティを高める努力はもちろんですが、万が一のインシデント発生時にも情報漏えいや生産停止などによる事業被害を最小限に抑えることが重要になっています。こうした考え方を、米国立標準技術研究所(NIST)は『サイバーレジリエンス』と呼び、『システムに対する困難な条件、ストレス、攻撃、もしくは侵害を予測し、それに抵抗し、そこから回復、適応する能力』と定義しています」と語る。
住友化学が企業として維持していくセキュリティ要素としては、情報系セキュリティと制御系セキュリティの2つがある。
情報系セキュリティについて、同社は機密性や完全性、可用性を重要視しているという。化学品を製造するのに必要な機密情報や顧客情報の漏えいを防止する対策を強化しつつ、近年はデータドリブンの取り組みの広がりに伴い、情報の完全性を確保することにも力を入れている。「データを使いたいときに使える」環境を整えるためにも可用性の面でもセキュリティ対策を進めている。
一方、制御系セキュリティについては、製造プラントを運転する従業員や近隣住民の健康と安全、環境の3つを最優先事項とし、製造プロセスがコントロールできなくなるような最悪の事態を回避する対策を強化している。
住友化学はセキュリティ対策の全体像としてセキュリティの国際規格ISMSの考え方にのっとってセキュリティポリシーを定めている。具体的な対策分類は下図の通りだ。
この際、どれか1つに偏ることなく、多面的な対策をバランスよく実施することが必要だ。特に前述のサイバーレジリエンスの観点で非常に重要になるのが、サイバー攻撃を受けたときに組織全体でいかに対応して回復するかという観点だ。
「『サイバー攻撃は完全には防げない』という考えに基づき、どんなインシデントにも広く対応できる組織を念頭に置いています。5つの対策はどれも重要ですが、最近では『人的対策』にも力を入れています。またその前提として『組織的対策』が重要だと考えています」(門田氏)
組織的対策ではインシデントの発生をいち早く検知し、被害を最小限に抑えるために、状況に応じた的確な対応を実施できるような体制を整えることが求められる。こうした体制がなければせっかく異常を検知しても誰に相談していいか分からず、攻撃が進行してしまう危険性がある。
住友化学の具体的なセキュリティ体制は以下の通りだ。
Copyright © ITmedia, Inc. All Rights Reserved.