文化もITリテラシーも異なる拠点でセキュリティ教育を徹底させるには “重要インフラ”を守る中部電力の取り組み:ITmedia エンタープライズ セキュリティセミナーレポート(1/2 ページ)
「電力」という“生活に欠かせない重要インフラ”をサイバー攻撃から守り、安定的に運用するためには、全ての社員が常に高いセキュリティ意識を持っていることが重要になる。その知識レベルを一定に保ち続けるために中部電力のセキュリティ部門が行っている工夫の数々とは。
“生活に欠かせない重要インフラ”を守るのは“若手や女性”スタッフ
電力という“生活に欠かせないインフラ”を、安定的に運用することを社会から強く求められている電力会社。最近では、社会インフラを狙ったサイバー攻撃が増えつつあり、制御系(OT:Operational Technology)のリスクだけでなく情報系(IT)のリスクも鑑みた強固なセキュリティ対策が急務となっている。
中部地方の電力供給を担う中部電力では、社員のセキュリティリテラシー向上やCSIRTの運営、レッドチーム演習などの取り組みを通じてOTとITの双方の堅牢化を図っている。同社の取り組みで興味深いのは、若手や女性が中心となってセキュリティ戦略をけん引している点だ。
2018年11月に行われた「ITmedia エンタープライズ ソリューションセミナー」の基調講演、「中部電力、IT女子奮闘記」では、中部電力 ITシステムセンター 統括グループの吉川由紀氏と宮地美希氏、鈴木麻衣氏を招いたパネルディスカッションが行われ、それぞれの立場から取り組みの詳細や工夫、試行錯誤の過程を紹介した。
拠点ごとに文化もITリテラシーも異なる中、どうやって教育を徹底させるか
同社のセキュリティ対策とリテラシーの強化を図る上でポイントとなったのは“拠点ごとの対応”だったと宮地氏は振り返る。電力会社の拠点は、発電所や変電所など“エリア内に面で広がっている”のが特徴で、それぞれの現場ごとに異なる対策が必要だったという。
「拠点ごとに業務も文化も異なるため、IT部門が状況を把握することが重要でした。机上の空論にならないよう、自分の目で現場を見て理解を深めるようにしています」と、宮地氏は述べる。
制御系ではベテランのエンジニアでも、情報系には疎い――というケースも少なくない。しかし昨今の業務ではPCを利用するシーンも多く、不慣れのままではリスクを抱えることになる。そこで中部電力では、全社員のITリテラシーを向上させるため、PCの基本操作から学ぶことのできる“IT自習室”を設けて、鈴木氏らが指導に当たっている。
鈴木氏は、ベテランスタッフに“指導”することの難しさについて、「中にはPCを毛嫌いしてしまう人もいますから、マンツーマンで寄り添うように、相手の気持ちに共感しながら教えるべき内容を伝えていくことが重要だということを体感しました。女性の方が、こうした親身な指導に向いているかもしれません」と述べている。
若手や女性が積極的にチャレンジできる理由
もともと電力会社では、制御系システムのリスク管理を徹底しており、中部電力でも既存の取り組みの中に情報系のリスクを採り入れてセキュリティ戦略を策定し、実践している。重要な取り組みの一つである“訓練”では、若手社員が中心となってシナリオを作成しているという。
「(ITに詳しい)若手社員が持つ新しい発想に期待して、訓練の準備段階から参加してもらいました。例えば“1時間以内に停電させるというテロ声明があった”というシナリオでは、『時間制限』という新しい要素で何をすべきか考える必要がありました。SNSを駆使してリスクの予兆を発見したり、誤情報への対処を考えたりと、これまでにない訓練を実施できて、社内からも好意的に受け止められています」(宮地氏)
また、昨今の中部電力では、既存設備やIoT/AIを活用した新しいICTサービスの提供にも取り組んでいる。スマートフォンを利用して子どもの居場所を確認できる見守りサービス『どこニャンGPS BoT』や、電柱に設置したカメラで街頭防犯や敷地監視を実現できる『mimamori-pole』などが挙げられる。
実際に2児の母親でもある吉川氏は、こうしたサービスで子どもを監視できるメリットをアピールしながらも、「子どもは制御し過ぎると、それを超えようとして反発してしまうかもしれません。小学生のプログラミング教育も始まることですから、むしろ子どものうちからセキュリティを意識して教育することが必要だと考えています」と指摘する。同氏はまた、家族とのコミュニケーションを重視して、仕事と育児の両立を理解してもらうことも重要だと述べた。
最後に3人は若手や女性に対し、“若手スタッフにはこれから長い社会人としての人生が待っており、女性はライフイベントでキャリアが大きく転換する機会も多い。自らが実践してきたように、こうした社内の取り組みへ積極的に参加して、幅広くチャレンジしていくことが必要”とアドバイスした。
関連記事
- セブン銀行のCSIRTは「商品開発部門」がカギ――マーケティングの知見を生かしたセキュリティ対策とは?
ITmedia エンタープライズのセキュリティセミナーにセブン銀行のCSIRT「7BK-CSIRT」が登場。システム部門だけではなく、商品開発部門をメンバーに加え、マーケティングの視点を持って、金融犯罪対策を進めているのだという。 - 200人が参加した“絶対に負けられない戦い” みずほFGの社内セキュリティコンテスト「MC3」の舞台裏
金融機関を狙うサイバー攻撃を後を絶たない中、日本企業の中では早くからセキュリティ対策に注力してきたみずほフィナンシャルグループ。最近では、人材育成に力を入れており、200人を超える規模のサイバーセキュリティコンテストを実施したという。 - アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題
ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。 - 「自分たちでできないことはやらない」 分業でセキュリティ強化を図る「京王SIRT」
54社のグループ企業の中核を担う京王電鉄。横断的セキュリティを実現するために立ち上げたCSIRTで、どのような取り組みをしているのか。
Copyright © ITmedia, Inc. All Rights Reserved.