住友化学はいかにして工場とオフィスのサイバーレジリエンスを強化しているか？：ITmedia Security Week 2023秋 イベントレポート（2/2 ページ）

[斎藤公二，ITmedia]

住友化学のセキュリティインシデント対応体制とは？

　同社は平時だけでなく、セキュリティインシデント発生時の対応体制も構築している。IT推進部内にCSIRT（Computer Security Incident Response Team）を作り、外部組織や社内各部署との連携を一手に担っている。

住友化学のセキュリティインシデント対応体制（出典：門田氏の講演資料）

　門田氏は「セキュリティツールが異常を検知したり、従業員がセキュリティインシデントの発生や兆候に気付いたりしたときには、CSIRTが受付をして必要に応じて社内外の関係部署と連携して素早い対応を実施します。インシデント発生時に問い合わせ先を事前に定めておくことで異常発生時から最短で対応を開始します。関係省庁や情報処理推進機構（IPA）などとの連携についてもコミュニケーションルートを事前に定めることでスムーズにインシデントに対応できる体制を整えています」と説明する。

　制御システムのセキュリティ対策の検討については、各工場で生産プラントのエンジニアリング担当や各工場のシステム担当者、IT推進部などでセキュリティのワーキンググループを構築している。

住友化学の制御システムセキュリティの体制（出典：門田氏の講演資料）

　この体制の特徴は制御システムの取り組みにおいてもIT推進部が統制をかけて進めている点だ。もちろん制御システムのセキュリティ対策をIT推進部だけで進めるのは難しい。各工場において生産プラントのマネジメントを実施するエンジニアリング担当の意見を聞かなければ、各工場に適した対策を立てられないという。

　「工場側の人たちはITの知識を豊富に持っているわけではなく、一方、ITの人たちはプラントそのものに詳しくありません。ITだけで制御系のセキュリティを進めることは難しいため、領域を補い合って対策を進めることを重視しています」（門田氏）

異変に気付き報告できる人を育てるにはどうするか？

　次に人的対策について紹介しよう。住友化学は上記の通りCSIRTを構築してはいるものの、同組織だけでセキュリティ対応が全てこなせるわけではない。

　最近は標的型メール攻撃やビジネスメール詐欺など、“人”を狙ったサイバー攻撃が多いため、インシデントのきっかけになり得る人を減らすことが重要になる。この際、従業員全体のITリテラシーの向上および、異変を感じたときに報告・相談できる風土作りが大切になる。

　人的対策の具体例としては、研修やeラーニングなどの座学に加え、標的型メール訓練といった実践的なものまで行っている。

人的対策の具体例（出典：門田氏の講演資料）

　「定期的な教育もありますし、新しく部長になった方、重要な人事異動があった方にも研修を実施しています。座学において怪しい電子メールの特徴や事例を従業員に知らせることは第一歩として重要です。その上で実際に怪しい電子メールを受け取ってみて、本当に座学で学んだ内容を思い出して開かないで済むという対応が取れるかどうかを第一に訓練を通じて実施しています。また、クリックしてしまった人にはCSIRTへの連絡・報告を促すことが重要になります」（門田氏）

　人的対策の取り組みのうち、制御系の対策としては工場のインシデント対応方針や手順を決めて、その通りにできるかどうかを確認し、有事の際にスムーズに対応できるようにしている。

　門田氏は「訓練を通じて制御系システムを取り扱う工場のメンバーにもセキュリティ意識を高めてもらうようにしています。サイバーセキュリティの対応は安全を全てに優先させるという基本理念の下に進めていて、通報の対応の流れやCSIRT体制の構築も並行して進めています」と話した。

　同氏は最後に「繰り返しとなりますが、サイバー攻撃を完全に防ぐことはできません。漏えいや紛失を未然に防止するとともに、セキュリティインシデント発生時に影響を最小限に抑えることが重要です。対応するための組織を構築すること、異変に気付き、報告できる人を育てることを重視しています」とまとめた。