OKRのもとにセキュリティの目指す姿を組織で共有
青山 スーザンさんは、セキュリティのことをすべてセキュリティ部門にまかせるのではなく、OT部門も、セキュリティについてもっと精通すべきだとおっしゃいました。つまり、OT担当者とセキュリティ担当者が、ともに対話をするべきだということですが、セキュリティ部門は今、非常に人材不足です。そういうセキュリティ部門の皆さんは、何ができるでしょうか?
スーザン 私がこれまで働いてきたエネルギー会社では、どの企業も安全第一を基本としていますが、安全は誰の責任かというと、すべての人の責任です。
今や、個人のデバイスを仕事場に持ち込むためのポリシーなども見られるようになったほか、IoTやセンサー、ロボティクスなどいろいろなものが追加される環境において、すべての人が、セキュリティは自分の役割だと認識することがとても重要です。
ですからリーダーは、身をもってしっかりと模範を示すことです。さらに組織の筋肉を強化するため、OKR(Objectives and Key Results)も大事です。OKRとは、目標と目標達成のために必要な成果を結びつけて管理していく手法です。
具体的なユースケースごとの、多くの参照アーキテクチャについてのOKRやインシデント対応の訓練、あるいはセキュリティ担当者の資質や資格についても、OKRを作ることができます。それに役立つ認定制度や、OTに関わる人がセキュリティの専門知識を身につけるためのプログラムを用意することです。
ネットワーク運用管理を理解して、それをセキュリティに生かすことができれば、大きな価値が生まれます。また、早期の段階からサプライヤーにも関与してもらいます。DX化に対するベンダやサービスプロバイダ、セキュリティ部門の目標は何なのか、何を実現しようとしているのかを、オープンに議論することが大事です。
さらに、要件についても快く開示できることが望ましいです。SOCや保守担当の人たちが、責務を果たせるように資産分類表から、資産を選んでデータ構造に追加するなど、追加で共有できることはたくさんあります。
仕事量が膨大で、それが容易でないことは承知していますが、共通の理解はとても効果的です。DX化のプロジェクトが全社的に広がれば、その成功はさらに大きくなります。
DXを推進するためのセキュリティ
青山 セキュリティ担当者にとってデジタル化は、会社のために飲み込まなくてはいけない“苦い薬”である必要はないのかもしれません。
例えば、企業内のプロジェクトで試算をコンテキスト化し「資産の可視化」ができると、セキュリティ担当者は多くの苦労の中の1つが解消します。逆に、資産の可視性ができないと、脆弱性が見つかるたびに、どの資産が影響を受けるかがわからないので、冷や汗をかくことになります。
そういう意味で、デジタル化による可視化から、セキュリティ担当者も恩恵を受けるのです。デジタル化は、利益になるという発想の転換が必要です。スーザンさんのお話を聞いて、そのような考えが見えてきました。
スーザン 本日、皆さんにお伝えしたかったのは、「安全文化」について考えるのと同じように、「セキュリティ文化」についても考えるべきだということです。セキュリティだけ特別扱いするのではなく、私達のDNAに組み込んでいかなくてはなりません。
成功している企業は、ユーザーがどう使うかという視点で、セキュリティ要件を最初に検討しています。だからこそ、プログラムやアーキテクチャを必要に応じて拡張することができるのです。それは、壮大な変更管理のプロセスになりますから、経営陣やリーダーはそれを成功に導き、適切なチームで拡張できるようにするという大きな責任を負うことになります。5年後は、想像もつかないくらい大きな変化が起こっていると思います。
青山 本日の対談で私が学んだことの1つは、「セキュリティアーキテクチャ全体を見直すときが来た」ということです。技術環境が変わった今、もはや、従来の古いアーキテクチャに価値はありません。
階層モデルを守ろうとすればするほど、DXが拡張できなくなり、DXの推進とセキュリティ対策の間で軋轢(あつれき)が高まってしまいます。OTデータへのアクセスも毎回特例として扱うと、どうしても拡張できない個別対応になってしまいます。そのようなアプローチが、日本では多いのではないでしょうか?
これでは、DXの取り組みそれぞれがサイロ化(孤立化)してしまい、将来、セキュリティがDXの恩恵を受けられないかもしれないという危機感を、私は強く感じます。
DXにブレーキをかけるセキュリティではなく、DXを推進するためのセキュリティ、さらにはDX化の過程で、セキュリティを一緒に強化するためのアーキテクチャを構築し実装していく時期が、まさに今、到来しているのです。今こそ、デジタル化の担当者を交えてOTセキュリティについて会話を始めて、理解を深めるときだと思います。
スーザンさん、本日はありがとうございました。
講演者Profile
スーザン・ピーターソン・ストーム(Susan Peterson-Sturm)
コグナイト(Cognite) アメリカ
セキュリティ担当バイスプレジデント。
オートメーション、IIoT、サイバーセキュリティなど、ソフトウェアベースの革新的なビジネスの収益性向上に20年の経験をもつ、運用技術分野の変革リーダー。アーリーステージで、収益性の高いデジタルソフトウェア主導型ビジネスを1億5,000万ドル以上に成長させ、構築してきた実績がある。
専門はチェンジマネジメント、プロダクトマネジメント、M&A、戦略的アライアンス。
[編集協力]
佐々木 弘志(ささき ひろし)
IPA 産業サイバーセキュリティセンター
サイバー技術研究室 専門委員