コグナイトの顧客だった時の企業変革
Susan Peterson-Sturm
コグナイト(Cognite) アメリカ
セキュリティ担当バイスプレジデント
スーザン・ピーターソン・ストーム(Susan Peterson-Sturm)氏
青山 スーザンさんは、これまで石油・ガス・電力などの重要インフラ企業で、チーフデジタルオフィサーやセキュリティ担当エグゼクティブの経験がありますが、クライアントとしてコグナイトのDataOpsを導入された時の「(デジタル)変革」「可視化」はどのように行われ、どう感じられたのでしょうか。
スーザン 欧州の鉱山会社では、同僚の多くが地球物理学者や石油技師でした。ITを学んでいない彼らは、そもそもアジャイル注13やミニマムバイアブルプロダクト(MVP)注14といった概念を理解していませんでした。
このような業界では、決まった方法でその製品が20年以上の使用に耐えるように設計されてきたので、そこにまったく違う考え方を組み入れるのは、実に大変なことでした。
コグナイトというパートナーが登場し、アジャイルというコンテキストでプロジェクトを捉えてMVPを検討する機会をくれたことは幸運でした。チームが大きな自信をもつようになったのです。
特に現場のアセットオーナーと協力して、彼らの経験を共有できるようになってくると、他の従業員の関心も更に高まりました。私達の目標は、新しいプロセスや意思決定で、新らたな働き方を作り出すことでした。それには、全員が参加しなくてはならず、大変すばらしい経験でした。
シチズンデベロッパー注15やシチズンデータサイエンティストが増えたとしても、彼らが安全な開発ライフサイクルやセキュリティリスクを理解していなければ、技術的な差異を増やすことになってしまいます。ですから、セキュリティリスクを理解し、法令遵守のための義務としてではなく、最終目的に向けて前向きに設計基準を取り入れるための研修・教育をすることが重要になります。
「Log4j」へのセキュリティ対策はどうだったか
青山 コグナイトは、OTからデータを引き出してクラウド化(前出の図3参照)しようと考える企業の1社です。考えてみると少し怖いですが・・・。
そこで、最近見つかった重大な脆弱性「Log4j」注16についての御社の対応や、その成果はどのようなものだったでしょうか?
スーザン これに関しては残念ながら、おそらく今後もっと頻繁に対応を迫られる別の脆弱性が出てくると思います。それに対して、どのようにインシデント対応を行うべきなのか、注意深く考えておく必要があります。
まず、最初の脆弱性と、さらにCVE注17が付けられた副次的な脆弱性の通知を受けたのですが、社員が高いセキュリティ認識をもっているとわかり、感心しました。
また、コグナイトでは、組織の筋肉(実践的な対応力)を鍛えています。これからもっと多くの脆弱性が発見されることを見据え、OT環境とリポジトリ(データベース)の両方で、脆弱性を自動検出する機能を活用しています。具体的には、脆弱性にパッチを当てるためのプルリクエスト注18の作成を自動化しました。これにより、セキュリティ部門はリクエストの概要を把握して作成でき、該当する他部門と連携することもできます。この連携モデルも、非常に重要なものとなりました。
業務プロセスの観点では、絶対にインシデントを無駄にしてはいけないということです。脆弱性の問題や、インシデント管理をどう改善できるのか。これを客観的に考えることは、どのようにすれば顧客とうまく共同作業ができるかが、よくわかります。アセット管理においても、マニュアルから自動化に移行していく中で、インシデント分析はとても役立ちます。
弊社のアプローチは、因果関係を明らかにすることです。ですから、「なぜ?」を5回ぐらい聞いています。これは、とても重要なことです。インシデントが起きた後に、一体何が問題だったのかをきちんと解析する。そのために、社内の関係者全員に話を聞くことが役立ちます。どのようなことが難しくて、何が課題だったのか、将来役立つ様々なことがわかります。
最後に、最も重要なことは、経営陣がこれらの結果をきちんと理解して、会社の現状を把握するということなのです。経営陣もリスクを感じているはずですし、リーダーの役割として、「リスク」そしてそれに対する「レスポンスタイム」(対応時間)がいかに重要かということを、明確に従業員全員に対して伝えなければなりません。
▼ 注13
アジャイル:開発工程を機能単位に区切り、それぞれ実装とテストを反復しつつ開発を進めていく手法。仕様変更にも柔軟に対応でき、最適な製品開発を可能とする。
▼ 注14
MVP:Minimum Viable Product、実用において最小限の製品(開発)
▼ 注15
シチズンデベロッパー:IT部門所属の技術者ではなく、自ら解決策を生み出し(開発し)、共有できる権限を与えられた事業部門の担当者。
▼ 注16
Log4j:モニタリングライブラリとして、ICS(産業用制御システム)環境においても多くのシステムで採用されており、しかもオープンソースのため、自社開発のアプリケーションにも組み込まれていることも多い。脆弱性は外部から容易に攻撃コードを実行できるものだったため、多くの企業が脅威にさらされた。
▼ 注17
CVE:Common Vulnerabilities and Exposures、共通脆弱性識別子。CVE ID番号を割り振られた特定のセキュリティの欠陥のこと。
▼ 注18
プルリクエスト:Pull Request。追加・修正コードの、プロジェクト本体への反映・レビューを他の開発者に依頼する機能。