組織におけるセキュリティ対策への関心は急速に高まっている。セキュリティコンサルタントである筆者の元には、相談や依頼が次々と舞い込んでいる。そうした方々と話をしていて、セキュリティの考え方が誤解されていると感じる機会も増えている。
色々な人と会話をする機会があり、勉強熱心な人ですらよく勘違いしている事項があると分かってきた。そのトップ3が(1)情報セキュリティとサイバーセキュリティの違い、(2)セキュリティとセーフティの違い、(3)セキュリティガバナンスとは何かの理解、だ。会話ですれ違いやギャップが生じ、提案活動やプロジェクト支援が進む過程で障壁となるケースもある。
今回はセキュリティとセーフティの違いを取り上げる。IoT(インターネット・オブ・シングス)の進展から、自動車、電機、機械といった製造業の製品設計部門がセキュリティを検討する機会が増えてきた。そうした現場にコンサルタントとして参加すると、次のような発言を耳にする場合がある。
設計担当役員A氏「我々の製品はセーフティ(安全)面の要求が厳しい。セキュリティ面についても、現状の開発プロセスでおおよそ対応できるのではないか」
自動車、電機、機械といった製造業の技術者は、人間、財産、環境に危害を及ぼすリスクを低減する「セーフティ観点のリスク対策」に長く取り組んできた。現在、コネクテッドカー、自動運転、IoTなどのITと融合した新しい技術が生まれている。こうした新しい技術では、セーフティに加えて「セキュリティ観点のリスク対策」が必要となる。
どちらもリスク対策である点は同じだが、開発プロセスが異なる。ここに落とし穴がある。セーフティ観点のリスク対策に慣れた技術者ほど、セキュリティ観点のリスク対策を誤解しやすい。両者の違いを誤解したまま同じ枠組みで扱ってしまうと、セキュリティ対策が不十分になってしまう。
これからセキュリティ対策を始めようとする企業の設計部門の技術者は、まずセーフティとセキュリティの違いについて理解しておく必要がある。