2017年6月28日（水）東京・秋葉原で、
情報セキュリティマネジメントフォーラム2017が開催されます。
「十分なセキュリティ投資が出来ない中、企業はどのように対策をとるべきか？」
という、多くの情報セキュリティ担当の方がお持ちの共通の悩みに対して、
同じ情報セキュリティ担当の立場として、積水化学工業様にご講演いただきます。

ご講演いただくのは、コーポレート情報システムグループ長 原　和哉 様。

原様には、『積水化学グループに於けるセキュリティ対策』という、まさに積水化学グループ内で実践されている内容をお話いただきます。

■ サイバー攻撃に対するシステムのセキュリティ体制
■ 情報を社員が勝手に外部に持ち出さないための方策
■ クラウドやFA分野におけるセキュリティ対策

というテーマですが、さらに詳しくお話をお伺いしてきましたので、
ぜひ御覧ください。

本社の情報システム部門なので、セキュリティーも含めてシステム全般で、主にはシステム企画、戦略を立てるという業務をしています。

会社で定めているポリシーは公開できませんが、実際にどんなセキュリティー対策やっているかとかという部分的な事例であれば問題がないので、われわれで実際にやっていることの実態を話をさせていただいて、ご来場いただいた方々の参考になればいいかなと思っています。

持ち出さないための方策と言うよりも、モバイルで仕事をするという話は、最近のワークスタイル改革という話の中で普通にありますから、持ち出さないっていうことは難しいと思います。

その中で、どうやってモニタリングしていくのかというところがやっぱりポイントだと思います。基本的にセキュリティーは属人的なものなので、一言で言ってしまうと教育につきるということになるんですけど、教育といってもなかなかうまくいかないですね。

原　それは当日お話します。（笑）

最近はやりのクラウドサービスで、「クラウド上でのセキュリティーってどうするの？」とよく聞かれるんですね。

当社の場合はクラウド(IaaS)としてAWSとAzure、両方使ってるんですけれども、そこで、どんな考え方でセキュリティーを担保しているのかっていう話が1つですね。

クラウド(社外)にデータを置くことついての是非の議論は正直言って、既に終わりつつあります。

要するに
「銀行にお金を預かるのがいいか？それとも
　自分の家で大きな金庫を買って、そこにお金預けるのがいいか？」
というレベルの議論ですので、クラウドにデータを預けるっていうことに関してはそれほど問題だとは思っていません。

ただ、クラウドサービス(銀行)だから全部お任せしていいよ！ともならないです。クラウドを使う (特にIaaSをIT基盤として使う) 時に、オンプレミスと同じように二重化をしたりとか、バックアップを取ったりという、ちゃんとしたシステム構成を取らないと駄目ですよ　という話がポイントになります。直接的な話しではないのでセキュリティーと無関係のようですが、重要なことです。

テーマにもあるFA分野の話しですが、最近でいうと経産省などが「産業サイバーセキュリティセンター」というのをついこの間、発足しました。私はセンター発足のための有識者委員会のメンバーでもあったりするので、その中でいろいろと出てくる話なんですけど、OTと言われてるやつですね。

オブシングス(IoTの後半部分)じゃないですよ。ITはどちらかというとOA系のほうのシステム、いわゆる普通の情報システムを指す。OTのほうは制御系のシステムなんですね、オペレーショナルテクノロジーです。だから、製造業なんかである、工場とかにある仕組み、ITの仕組みを指します。

そちらのセキュリティー対策というのは、通常のオフィスのセキュリティー対策とはまたちょっと違う内容になります。

出てくる機械が、コンピューター、パソコンだけじゃなくてシーケンサーとか、それこそIoTの世界のセンサーとか、多少インテリジェントのセンサーとかいろいろあると思うんですけれども、そういったものがたくさん機器として出てくるということと、外部との接続をほとんど必要としない、要するにインターネットに出て行く必要がないんですね。そういったところでセキュリティー対策の取り方というのを考えるということです。

お金に関しては、リスクマネジメントの話になるので、やっぱり保険的な要素が強いですよね。
「保険金どれだけ掛けますか？」という話で、なかなか経営陣は判断してくれない、お金出してくれないというのが、皆さん共通した悩みだと思いますね。

何か事故が起きたら会社はものすごい金額を投下しなくてはなりませんので、脅しにならないようなレベルで保険の勧誘をする必要があります。

－なるほど。起きたときのためにきっちりと提案しておくというような。

起きたときにはやっぱり確実にやらなきゃいけないですし、そのために必要な対策にかかるお金というのは経営層は出してくれますから、会社の経営そのものに影響が出ますからね。ただ、問題は、起きてないときにそれをいかに出させるかというのがやっぱり1番の難しいところで、システム部門、セキュリティーを管理している部門の腕の見せどころですね。

世間的には経産省などのセキュリティーガイドラインなんかにあるように、経営層がそういったリスクをきちんとマネジメントして、しっかりと会社として、費用もそうだし、人員も割いてやりなさいよという号令を出せっていうことなんですけど、これはなかなかきれいごとで、実際にそこにたくさんお金をかけるという経営者は非常に少ないというのが現実だと思います。

「じゃあどうするの？」という話になるんですけど、1つは事故が起きるのをひたすら待つっていう方法もあるんですけど、それはネガティブなやり方ですし、リスキーですよね。

少し前向きに考えて・・、今どんな事業やるうえでもITは必要だと思うんですけれども、そのために必要なIT投資が多分あるはずです。新規だけじゃなくて既存システム更新投資とかも結構あると思うんですよ。

設備投資の時にきちんとセキュリティーについてのポリシーを定めて、そのポリシーにきちんとのっとって、ルール通りつくってもらうと。で、そのために必要なお金は多少その投資の中に入っても、やむを得ずというかたちでやるということですね。

特に、新規のような前向きな投資のときには、必ず利益を生むかたち(ROI)っていうのは必ず言われると思うので、その中に原価要素としてセキュリティーの要素もきちっと入れておいて、ということを徹底していくということだと思います。いわゆるガバナンス、ITガバナンスとかコーポレートガバナンスであるとか、そういったような言葉でも言われますけれども、そこをしっかりやるというのがやっぱりポイントになると思います。

基本的に工場の仕組みというのは、WAN(自社の閉域ネットワーク)にはつなぐ必要があるんですね。それはデリバリーとか会計とか、そういう基幹系の仕組みとの連動があるからです。製造業の商売は当然ものづくりですが、ものができ上がったらそれを売ってということですから、そういう意味では販売や会計の基幹系の仕組みと必ずつながなきゃいけないので、WAN接続は必須になりますよね。

ただ、直接インターネットに出て行く必要はない　という話で、その為にファイアウォールを入れたりして、通信ポートやプロトコルを制限したり、特定の機器と特定の情報しか通信できないようにしてやるとか、そういったことをきちんとやっていくということです。だから、ネットワークレベルで各工場とかをしっかりと守っていくという話です。

これは2つの側面があって、1つは、今ちょっと話が出ましたけど、ランサムウェアみたいなOA系で添付ファイルをプチッとやって感染したようなやつが、どんどんワーム型で自分以外のセグメントに広がっていくという動きをすると思うんですけど、そのときに工場の端末がやられてしまうと生産が止まり、大打撃を受けます。そういう意味ではOA系から入ってくるそういうものの感染を防ぐために、きちっとネットワーク的にブロックしますっていうのが1つ。

それで、逆に今度は、生産現場はわりと田舎にあって、そんなに高い塀で囲まれてるっていうことでもなかったり、人の出入りがあったりするっていうこともあって、例えばUSBメモリみたいなものでウイルスを持ち込まれて、工場の端末に直挿しで挿されると、これはもう防ぎようがありません。

－なるほど、かなり悪質ですね。

悪質ですけどないとも言えないし。

例えば工場で働いている人が自宅で撮った家族の写真とかをウィルスに感染しているUSBメモリで会社に持って来て、会社のPCで写真見たりとかがあり得ます。普通は物理的にUSBポートを塞いだり、私物の持ち込みを厳しく制限したりしていても、工場の現場は広いですから、建物の影とか機械の影に置いてある端末とかは、なかなか日常的に見張るわけにはいかないので、そういうところから感染してしまうことがあるということです。

このような感染が場内でとどまればそこだけで済むんですけれども、ほかの事業所とかほかの生産現場に広がってもらうと非常に迷惑なことになるので、逆に現場から出て来るのもブロックする必要があります。
だからOAサイドから来るのもブロックする、現場サイドから来るやつもブロックする、要するに2つをきちっと別のセグメントとして扱えるような構成にしなければいけないということが基本だと思ってます。

それで、最近その基本を揺るがす話でIoTの話なんかがよく出てくるんです。Internet of Thingsですから、言葉どおりインターネットにセンサーの情報を直接上げようなんていう話ですが、これはやりようによっては暴挙だとしか言いようがないですね。例えば生産ラインにあるセンサーの情報をそのまま言葉通りインターネットにボンと直接あげるということになった場合は大変です。

－実際にされていらっしゃる会社さんは結構いらっしゃいますよね？

流行りですからね。たくさんの現場データを集めていろいろ加工してってやるんですけど、普通きちっと考えてる会社さんであれば、工場に管理されたサーバーを置いて、場内でいったん処理をします。そのあとWANへ行って、WANの中の基幹系の仕組みのほうがインターネット上で連携すると言う感じだと思います。これならWANの出入り口対策とかセキュリティー対策の仕方もいろいろありますし。直接インターネットに出られると大変です。ただ、それもテクノロジーでいろいろ解決できるようにはなってきていますね。

例えば、IoT専門のキャリアで、一応インターネットにつながってるということにはなるんですけれども、ほぼ閉域網扱いで使えるサービスがあります。無線通信というのはキャリアさんの閉域網ですし、その中で、さらにお宅の会社の通信だけとかいって限定したりというようなサービスが出てきてるので、それもうまく使えばインターネット上と言っても、それはインターネット上と言うよりはプライベートネットワークサービスを使うという格好になるんだと思います。

うまくクラウドとIoT(センサー情報のビックデータみたいなもの)と、AI(分析みたいなもの)を全部結びつけると、それなりに今までと違うやり方でいろんなことができるでしょうね。

1つの事例でいうと、海外とかの生産事業所の機器の稼働状況みたいなやつを日本で全部集中管理する、24時間365日見るとかっていうようなサービスをやるときに、問題なのは通信網です。 どういう通信経路でどういうふうにやるかというのが非常に問題で、そこさえ気を付けてきちっとつくっていればできる話だと思います。

ただ、国際通信ですからやっぱりお金がかかるんですよね。大きな勘違いする人がいて、インターネットはタダだと思ってるような人が企業の中にも結構いて、そんな感覚でいろいろやられると、もう全然でたらめなことになってしまうということですね。