ロゴ

IoT時代のサイバー・セキュリティ対策を考える、5つの質問

インダストリアル・インターネット、Industry4.0、IoT技術の活用・・・企業の競争力向上のキーワードとして、これらの言葉が盛んに語られています。インターネット接続やデータ活用が進むということは、それだけリスクも高まるということ。IoTの戦略活用を計画すると同時に、事業やインフラのオペレーションにおけるサイバー・セキュリティ上の問題やリスクへの対策にも目を向ける必要があります。

いわゆるIT(Information Technology)の世界とOT(Operation Technology)の世界とでは、サイバー・セキュリティへの対応のしかたが全く異なります。何かインシデントが起きたとき、ITシステムをシャットダウンしパッチを当てて新たな脅威を阻止することができるのが、ITの世界。対してOTの世界では、オペレーションプロセス(事業そのもの)を財務上・環境上・安全上の大きなリスクを伴うことなく、リアルタイムでシャットダウンすることとは至難の業。ひとくちにサイバー・セキュリティと言っても、両者はまったく次元が異なります。今日は、IoT時代に企業が自社を守るために自問すべき、5つの重要な質問を挙げてみたいと思います。

#1:オペレーション環境のためのサイバー・セキュリティ戦略がありますか?
サイバー・セキュリティはリスクマネジメントの一環です。事業上のほかのリスクに備えるのと同様に、事業環境を保護するためのプログラムが企業には不可欠です。サイバー・セキュリティプログラムの重要な要素は、サイバー攻撃を受けた際に被る特定のリスクの評価、インシデント対応計画の策定、充分な予算を伴うサイバー・セキュリティのためのガバナンスモデルの構築など。そして、これらのプログラムは国際基準や各業界のベストプラクティスに準拠したものでなくては、意味がありません。

#2:脆弱性への対応計画は、どのようなものですか?
インターネット接続を常時使用している事業には、セキュリティへの脅威が出現した際に対応できるよう、戦略的な備えが必要です。たとえば、サイバー攻撃によって事業にダウンタイムが発生した場合、その損失をカバーする保険が必要となるかもしれません。同様に、新たな設備機器の安全性を保証するとともに、長期にわたって安全性を確保するためのサプライチェーン方針を策定する必要があり、サイバー・セキュリティの取り組みを株主や社会に報告する際に利用する評価尺度を明確に理解しておくことも求められます。

#3:サイバー・セキュリティは取締役会レベルの議題として扱われていますか?
リスク管理の監督は、企業の取締役会が果たすべき主要な責務。IoT時代のサイバー・セキュリティも、もちろんそこに含まれるべきテーマです。ITを活用する企業において、たとえば情報漏洩など、ITオペレーションのリスクを取締役会レベルで監督しているケースも珍しくありません。リスク管理に敏感な欧米諸国では、産業分野でのIoT技術活用への関心の高まりとともに、OTオペレーションを守るためのサイバー・セキュリティに関する議論が高まっています。

#4:社員はサイバー・セキュリティにおける自分の役割を理解していますか?
事業オペレーション環境を保護するうえで、テクノロジーが重要なことは間違いありません。しかし、サイバー・セキュリティに最も大きなインパクトを与えるのは「人」だということを忘れてはなりません。たとえば、USBを持ち歩いている人、感染しているかもしれないノートPCをネットワークにつなぐ人、感染しているかもしれないスマートフォンをPCで充電している人、自分の役割を理解していない人・・・。GE Digitalの傘下にあるサイバー・セキュリティの専門企業「Wurldtech」の顧客企業の中には、サイバー・セキュリティの要点を肝に銘じるために、その手順を安全衛生規則とともに社員証に記載している企業もあるほど、社員が甚大なダメージの引き金になる可能性も低くはありません。IoT技術の活用で戦略的に競争力を高めるためにも、社員を教育し、意識を高めることが重要なのです。

#5:サイバー・セキュリティの継続的ニーズをモニタリングし、評価していますか?
「モニタリング」は、あらゆるサイバー・セキュリティ計画の大事な一要素です。リアルタイムで自社のモニタリングができないのなら、感染や攻撃をリアルタイムで発見することもできません。万一のリスク発生時には、問題が小さなうちに見つけ出し、迅速に適切な初動をとることが重要です。多くの個人宅がホーム・セキュリティ企業にモニタリングを委託しているように、やがて、企業もセキュリティ・モニタリングをアウトソーシングする時代も来るかもしれません。

世界では、サイバー攻撃によって、公共インフラがダウンしたり企業のオペレーションを停止せざるを得ないケースが起きています。備えているつもりでも「あたまかくして、しりかくさず」状態の企業も少なくありません。IoT戦略の策定と同時にセキュリティ対策をどう講じるべきか。「OT経営」の成果を確実なものにするために、GEデジタルはセキュリティ対策の面からもIoT活用に取り組む企業をサポートしています。