「重要インフラサイバーセキュリティコンファレンス」イベントレポート

2017-02-08

制御システム(OT)と情報システム(IT)の目指すべき連携の姿

2月8日にインプレス主催「重要インフラサイバーセキュリティコンファレンス」が開催されました。PwCコンサルティング合同会社 サイバーセキュリティ&プライバシー ディレクター 林 和洋がモデレーターとなり、「制御システム(OT:Operation Technology)と情報システム(IT:Information Technology)の目指すべき連携の姿」というテーマでイベント最後の閉幕特別パネルディスカッションを実施しました。

パネリスト

  • 中部電力株式会社 情報システム部 総括・企画グループ 澤井 志彦様
  • パナソニック株式会社 イノベーションセンター IoTサイバーセキュリティ事業推進室 室長 松尾 正克様
  • TMI総合法律事務所 パートナー 弁護士 大井 哲也様

モデレーター

  • PwCコンサルティング合同会社 サイバーセキュリティ&プライバシー ディレクター 林 和洋
「重要インフラサイバーセキュリティコンファレンス」イベント

サイバーセキュリティは経営課題

~ 制御システムと情報システムの連携の課題から読み解く

冒頭、PwC林が「サイバーセキュリティの観点から見た制御システムと情報システムの比較」「制御システムに対するセキュリティ対策」を紹介しました。

PwC 林:

連携の課題として、システムを管理する組織の考え方や文化の違いを融合させていくことの難しさが挙げられます。システムに求められる要件も、制御システムは可用性を求められ、情報システムは機密性が求められ、大きな違いがあります。これらの技術的な思想の違いや組織面、文化の違いを融合していくには、経営者のリーダーシップが必要不可欠です。また、サイバーセキュリティを全社的に推進するにも経営者のリーダーシップが必要であり、サイバーセキュリティは経営課題であると言われるゆえんです。

中部電力 澤井様:

経営者の意識を変えていく、マインドチェンジするための工夫やしかけとして、経営層に事例にふれてもらうことが大変重要だと思います。当社では、伊勢志摩サミット前に、サイバー攻撃を想定した意思決定訓練を実施しました。サイバー攻撃はなかなかイメージしづらく、状況が漠然としているなかでの対応が求められるので、実践的な訓練は効果があると思います。また、実務側としても、訓練シナリオを考える過程で、サイバー攻撃を受けながらも重要システムをダウンすることなく事業継続を実施するために、経営に必要な重要判断をシミュレーションできたことは有意義でした。

日本企業における制御システムのサイバーセキュリティ最前線

大井弁護士:

制御システムは開発時から5年~10年のライフサイクルがかかるため、当初は予想していなかった全く新しい脅威・攻撃手法が出てくる可能性が高い傾向にあります。ITシステムはワンタイムでのセキュリティで判断しがちですが、制御システムは点ではなく線でセキュリティ対策を考える必要があります。現在の脅威がどのような技術を持って攻めてきているのか、既存システムで脆弱性が発見されていないか、このくらいの脅威には穴をふさぐ必要があるといったような業界標準の考え方と日々サイバー関連情報をアップデートしていく両面での視点が必要になります。

パナソニック 松尾様:

セキュリティ対策はどこまでやれば十分といった正解がありません。インシデントが起こった時にこの企業であれば当然ここまではやっているであろうというセキュリティレベルを意識しながら進める必要があります。そこで、セキュリティに瑕疵がないことを証明することが大切で、パナソニックとしては重要事項だと考えています。そのためには、説明責任を果たして根拠を示す必要があり、ハッカー視点で「ここを攻撃するとコストが高い、止めておこう」と判断できるかどうかが必要十分な説明責任になると考えています。

制御システムと情報システムの目指すべき連携の姿

~ インシデントの早期検知、被害の最小化

大井弁護士:

国内では重篤なシステムが止まったといった事案が発生していない状況なので制御システムに関しては今後起こりうる脅威、想定シナリオ(サイバー攻撃が起こって特権IDが乗っ取られる)の中で事業にどのような影響があるか、法的損害の影響があるのかをシミュレーションし、シナリオベースの影響度評価の取り組みが企業に求められています。

PwC 林:

サイバーテロ、サイバー攻撃の予測ができない中でいかに早くサイバー攻撃にあっていることを検知していくのか、インシデントが起こった際にいかに収束していくのか、被害を最小化していくのかが重要です。そのためには制御システムと情報システムの連携が必要不可欠です。

中部電力 澤井様:

全社的なセキュリティガバナンススキームを整備、改善している最中です。冒頭制御システム担当者との考え方の違いなどの組織間の壁が話題になりましたが、私の経験上、技術のスペシャリストは実情を詳しく話をすると理解してくれる方がほとんどです。組織の壁を取り去るために、チーム間の個別の対話をとり、味方を増やしていく活動が非常に重要でないかと考えます。

パナソニック 松尾様:

ITシステムのセキュリティの考え方や進め方を制御系システムに適用しシームレスにセキュリティ対策を推進していく考え方で連携を進めています。しかし、サイバー攻撃を受けても止められないのが制御システムであり、いかにビジネスを継続していくかといった取り組みに力を入れています。そこで、サイバー攻撃を受けても事業継続を進めていく実証実験を進めています。

インプレス主催「重要インフラサイバーセキュリティコンファレンス」

主要メンバー

林 和洋

パートナー, PwCコンサルティング合同会社

Email

関連情報

第6回:もし情報漏えいの事件が起きてしまったら

万一、自分の会社や組織で、情報漏えいの事件が起こってしまったら……。事件が起こったその日(Day1)の動きは重要です。Day1に、情報漏えい元の会社は何から手を付ければ良いのか。企業の情報システム部門、法務部、広報など、それぞれの部署は、どのように対応し、何に気を付ける必要があるのか。2人の専門家が法的側面と技術的側の...