一般社団法人サイバーリスク情報センターは2017年11月21日、産業横断サイバーセキュリティ人材育成検討会の第2回懇談会を開催した。検討会の活動を紹介したほか、日立製作所、住友化学によるサイバーセキュリティへの取り組みを紹介する講演を実施した。

 日立製作所からは村山厚情報セキュリティリスク統括本部サイバーセキュリティ技術本部本部長が登壇。5月にランサムウエア「WannaCry」の感染で関係各所に掛けた迷惑を謝罪した後、被害から得た教訓を語った。村山本部長は「事案から学んだのは端的には4個ある」と話した。

日立製作所の村山厚情報セキュリティリスク統括本部サイバーセキュリティ技術本部本部長
日立製作所の村山厚情報セキュリティリスク統括本部サイバーセキュリティ技術本部本部長
[画像のクリックで拡大表示]

 1つめは、セキュリティインシデント発生時の経営インパクトが大きくなっていること。「IoT時代を迎えて、さまざまな機器がネットワークにつながるようになった。インシデントの発生源や影響の幅が広くなっており、サイバーセキュリティを経営課題としてとらえて対処すべきと強く感じた」(村山本部長)。

 2つめは、サーバーセキュリティの徹底不足が露呈したこと。「セキュリティパッチの自動適用を実施しているサーバーは感染を防げた。一方で、業務調整が必要だったり、止められないといった理由があったりでタイムリーなパッチ適用ができなかったサーバーは感染被害を受けた」(村山本部長)という。

 3つめは、IoT機器へのセキュリティ対策が困難であると再確認したこと。WannaCryに最初に感染した端末は、欧州の拠点にある検査機器(顕微鏡)だった。「検査機器にパッチの適用が必要だと、導入現場が認識できていなかった」(村山本部長)。今回は感染源にならなかったが「波形しか表示しないオシロスコープのように、パッチ適用が難しく、仮に感染しても気付きづらい機器もある」(同)との懸念を示した。

 4つめは災害対策のBCPとサイバーセキュリティのBCPは異なることだ。村山本部長は「サイバー攻撃では個別企業が狙われる。ほかの企業は影響を受けずに稼働しているので、1日といった短期間で回復しないとならない。インシデントレスポンスはBCPに直結すると痛感した」と話す。

 住友化学からは土佐泰夫IT推進部理事が登壇。同社が進めているパブリッククラウドへの移行が、セキュリティ対策の一環になっていると話した。クラウド移行により、ITオペレーション上のセキュリティに掛かる手間が減るからだ。目下の課題は、ビジネスとITのバランスを取る「セキュリティ統括人材」と、工場のセキュリティを考える「OT(制御系)セキュリティ人材」の育成と語った。