CODE BLUE 2023で行われた以下のセッションのレポートです。
[株式会社ベリサーブ] 製造業における「セキュリティ新市場の勃興」
ITの普及から四半世紀以上が経過し、世の中の多くがIT化されてきています。そして、企業のITもかつてのように情報システム部門が管理するものだけではなくなっています。特に製造業は、製造ラインや製品自体がIT化されたことでサイバー攻撃の新たなリスクとなっています。 本講演では、この新しい市場で必要なセキュリティや製造業の各分野の動向などについてお話しします。
Presented by : 武田 一城 (ソリューション事業部 マーケティング部長)
レポート
- セキュリティのマーケットの動きについての説明
- IT化がさまざまな分野で進んだ結果、製造業のセキュリティが巨大な市場になりつつある
- セキュリティを情報システム部門ではなく、製造業の製品開発部門でも考える必要が出てきた
- ITの利用拡大とセキュリティ
- インターネットの普及:5G、6Gの普及でまだまだ伸びしろがある
- 世界とつながる=世界中の悪意を受ける可能性がある
- 悪意がある人は、攻撃することでお金を得ることができる
- サイバー攻撃の黎明期(2000年以前)
- あまりセキュリティ的考慮がなされていなかった
- ファイアウォールもなく、内部に入り放題なネットワークもあった(それが問題と思わない人もいた)
- アプリやOSもセキュリティがそれほど考慮されていなかった
- コンシューマや小規模事業者はインターネットに常時接続されていなかった
- しかし、攻撃者のノウハウも少なく大きな問題になることは少なかった
- 2000年以降
- インターネットビジネスが活況となり、インターネットとお金が結びつき始めた
- マルウェアの流行によりリスクが顕在化する例が増えてきた
- しかし、顕在化したリスクの絶対的な量が足りず、世間の危機意識を醸成するにはまだ時間がかかった
- セキュリティの本格普及機(2010年-)
- 深刻な標的型攻撃事件の発生
- サイバーセキュリティ経営ガイドラインの登場
- これらによりセキュリティが経営責任という認識ができた
- これにより、やっと運用をベースとした対策が普通の話となってきた
- これはゴールではなく、スタートライン
- インターネットの普及:5G、6Gの普及でまだまだ伸びしろがある
- 製造業とセキュリティ
- 日本における製造業の位置づけ
- 企業数は第三位
- 売上高は第二位(日本における売上の1/4を占める)
- 日本の年商10兆円超の売上を上げる企業12社のうち5社が製造業
- 日本の基幹産業といえる
- ただし、その端末のほとんどは情報システム部門が管轄している
- しかし、IoT分野だけでなく、製品自体がITそのものになってきており、製造業の中でセキュリティの重要性が増してきている
- たとえば自動車はいまやコンピュータの固まり
- 製造業におけるセキュリティの範囲拡大
- CSIRT
- 情シスが管理するサーバや社内ネットワークのインシデントとセキュリティを守る
- PSIRT
- 製品(Product)のインシデント対応とセキュリティを守る
- FSIRT
- 工場(Factory)のインデント対応とセキュリティを守る
- CSIRT
- 2021年5月に、アメリカで国家のサイバーセキュリティ改善に関する大統領令が出たことが発端
- 民間業者が満たすべき7つのセキュリティ基準が明記されている
- SBOM(部品表)がないと政府が調達しないと明言
- 部品レベルの脆弱性管理が義務化された
- 製品のセキュリティへの意識が急激に向上した
- 日本における製造業の位置づけ
- このような経緯で、日本の製造業でセキュリティに対する考えが変わってきている
- やっと企業や組織が自分自身で守るところまできた
- セキュリティを情シスやリスク管理部門に任せるのではなく、製造部門や設計部門などさまざまな部門でセキュリティに取り組むことが必要になってきている
感想
- 製造業の現場において、情シスだけでなく、さまざまな部門がその部門自体でセキュリティを考える必要が出てきた、という点は講演でも話されていたように良い流れだなと思いますした。私はリスク管理部門(危機管理室)の人間ですが、企業のセキュリティはけして自分たちだけでは守れず、各部門の協力を得なければいけないと日々実感しています。社内の多くの人と連携して自社とお客様のセキュリティを守っていきたいですね。
32
