[重要インフラサイバーセキュリティコンファレンス2022レポート]

産業データとセキュリティが融合した未来

― 今、DX推進のためのセキュリティ設計を見直す時! ―
2022/04/11
(月)
インプレスSmartGridニューズレター編集部

ユーザーストーリーの作成:組織・人、業務プロセスの要素が大事

Tomomi Aoyama

Tomomi Aoyama
青山 友美(あおやま ともみ)氏
IPA 産業サイバーセキュリティセンター 専門委員
名古屋工業大学 社会工学専攻 研究員
(重要インフラサイバーセキュリティコンファレンス実行委員 アドバイザリーボード)

青山 脆弱性はこれからますます増えていき、その影響はもっと広範囲に広がっていきます。ですから私達ももっと筋肉を増強していかなければなりませんね。重要なことです。

 さて、スーザンさんの講演の中で、「ユーザーストーリーを作っていくということが重要」というお話が出ました。新しい技術を導入するだけではなくて、これが業務プロセスや組織・人にどう影響するかということを(読者に)知ってもらううえで、ユーザーストーリーについてはとても重要になります。

 変更管理や技術導入をすることで、人々の振る舞いがどう変わるのか、そして日々の仕事がどう変わるのか。これについてお話いただけますか。

スーザン 講演の中でも申しましたが、技術というのは、多分、私達が直面する中で一番小さな問題だと考えています。すばらしい技術が生まれ、才能ある人材も登場しているのですが、まだそれらの技術や業務プロセスを、うまく反映しきれていないのではないでしょうか。

 すばらしい技術を導入することはできますが、その後、それを広範囲に拡張していくのは難しいことです。最初にパイロット版を作り、実際の現場で働く人達に「稼働中のアセット(資産)に役に立ちますよ」と、きちんと示さなければなりません。

 例えば、デジタルパイロットを作る際、現場で働いている人々がどのようなことを望んでいるのかを聞いて、それを尊重します。技術が本当に受け入れられるかどうかは、結局、現場の人達にかかっているからです。彼らをヒーローとしてストーリーを作り、彼らがもっている専門知識が新しい技術の導入でさらに生かされる、そういうことです。

 多くの企業は、新しい技術の導入や新しいプロジェクトを行うことを喜ぶはずです。ただ、それを企業で実行する際には、研修・教育が必要となります。ですから、現場で働いてる人達の意見を聞きながら、プロジェクトを進めていくことが大事なのです。

“メッシュ”で監視するゼロトラストモデルへ

青山 さて、日本においても企業のDX化が、コロナ禍でどんどんと進んでいます。自社の企業活動の中で、実はITがサポート機能ではなく土台となる“基礎”なんだ、という認識がやっと高まってきたように思います。そこで、ゼロトラストの考え方が浸透してきていますが、このコンセプトは将来的にはどうなるのでしょうか?

スーザン コロナ禍では、多くのリモート機能が必要になりました。熟練した専門家が高齢化で引退していくことを考えると、サービスプロバイダに頼ることが多くなってきます。つまり、リモート運用に頼ることが増えていくということなのです。

 ゼロトラストは、APIで最終的に特定のユーザー、特定の行為だけを許すという“メッシュ”(網の目)のコンセプトで、これが強力な理由は、詳細に「ある人」「あるグループ」の権利や権限をきちんと定義できるようになるという点です。このことで全般的にコントロールしやすくなるはずです。多分、これが将来形になると思います。

 サードパーティのソリューションやセキュリティ制御がどんどん導入されることになると、アーキテクチャも非常に複雑になります。私がDataOpsを提案している理由は、リアルタイムのOTデータを取り出して、エンタープライズレベルで監視することができるからです。

 いろいろなアプローチはありますが、私が今恐れているのは、「ファイアウォールの向こうは安全」という考え方です。コロナ禍でリモートワークが増え、人や組織の変化がいろいろと起こっていますから、今の状態が一時的なものではなく、これから先も続く「ノーマルな状態」だと考えてセキュリティを担保していき、システムを構築していかなければなりません。

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...