住友化学はいかにして工場とオフィスのサイバーレジリエンスを強化しているか?:ITmedia Security Week 2023秋 イベントレポート(2/2 ページ)
セキュリティインシデントにつながる異変に気付き、報告できる人を育てるにはどうすればいいのか。工場とオフィスでサイバーレジリエンスの強化を実践している企業が内情を語った。
住友化学のセキュリティインシデント対応体制とは?
同社は平時だけでなく、セキュリティインシデント発生時の対応体制も構築している。IT推進部内にCSIRT(Computer Security Incident Response Team)を作り、外部組織や社内各部署との連携を一手に担っている。
門田氏は「セキュリティツールが異常を検知したり、従業員がセキュリティインシデントの発生や兆候に気付いたりしたときには、CSIRTが受付をして必要に応じて社内外の関係部署と連携して素早い対応を実施します。インシデント発生時に問い合わせ先を事前に定めておくことで異常発生時から最短で対応を開始します。関係省庁や情報処理推進機構(IPA)などとの連携についてもコミュニケーションルートを事前に定めることでスムーズにインシデントに対応できる体制を整えています」と説明する。
制御システムのセキュリティ対策の検討については、各工場で生産プラントのエンジニアリング担当や各工場のシステム担当者、IT推進部などでセキュリティのワーキンググループを構築している。
この体制の特徴は制御システムの取り組みにおいてもIT推進部が統制をかけて進めている点だ。もちろん制御システムのセキュリティ対策をIT推進部だけで進めるのは難しい。各工場において生産プラントのマネジメントを実施するエンジニアリング担当の意見を聞かなければ、各工場に適した対策を立てられないという。
「工場側の人たちはITの知識を豊富に持っているわけではなく、一方、ITの人たちはプラントそのものに詳しくありません。ITだけで制御系のセキュリティを進めることは難しいため、領域を補い合って対策を進めることを重視しています」(門田氏)
異変に気付き報告できる人を育てるにはどうするか?
次に人的対策について紹介しよう。住友化学は上記の通りCSIRTを構築してはいるものの、同組織だけでセキュリティ対応が全てこなせるわけではない。
最近は標的型メール攻撃やビジネスメール詐欺など、“人”を狙ったサイバー攻撃が多いため、インシデントのきっかけになり得る人を減らすことが重要になる。この際、従業員全体のITリテラシーの向上および、異変を感じたときに報告・相談できる風土作りが大切になる。
人的対策の具体例としては、研修やeラーニングなどの座学に加え、標的型メール訓練といった実践的なものまで行っている。
「定期的な教育もありますし、新しく部長になった方、重要な人事異動があった方にも研修を実施しています。座学において怪しい電子メールの特徴や事例を従業員に知らせることは第一歩として重要です。その上で実際に怪しい電子メールを受け取ってみて、本当に座学で学んだ内容を思い出して開かないで済むという対応が取れるかどうかを第一に訓練を通じて実施しています。また、クリックしてしまった人にはCSIRTへの連絡・報告を促すことが重要になります」(門田氏)
人的対策の取り組みのうち、制御系の対策としては工場のインシデント対応方針や手順を決めて、その通りにできるかどうかを確認し、有事の際にスムーズに対応できるようにしている。
門田氏は「訓練を通じて制御系システムを取り扱う工場のメンバーにもセキュリティ意識を高めてもらうようにしています。サイバーセキュリティの対応は安全を全てに優先させるという基本理念の下に進めていて、通報の対応の流れやCSIRT体制の構築も並行して進めています」と話した。
同氏は最後に「繰り返しとなりますが、サイバー攻撃を完全に防ぐことはできません。漏えいや紛失を未然に防止するとともに、セキュリティインシデント発生時に影響を最小限に抑えることが重要です。対応するための組織を構築すること、異変に気付き、報告できる人を育てることを重視しています」とまとめた。
関連記事
- 中小企業がゼロから始めるセキュリティ対策 ココだけは死守したい3つのリスク
サプライチェーン攻撃が激化している今、予算やリソースに余裕がない中小企業はこれにどう立ち向かうべきか。中小企業のセキュリティインシデント被害事例と、実態に即した対策を川口設計の川口 洋氏が語った。 - 徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。 - 徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 - 中堅・中小企業が「今すぐやるべき」セキュリティ対策 経営リスク回避のための“現実解”
「『本当に』実施可能なセキュリティ対策は何か」「メール訓練を重ねているのになかなか開封率が下がらない」――。セキュリティ対策に頭を抱える中堅・中小企業に対して、“今すぐに”実現可能な対策をレクチャーする。
Copyright © ITmedia, Inc. All Rights Reserved.