マカフィー株式会社 セールスエンジニアリング本部 サイバー戦略室で シニアセキュリティアドバイザーを務める佐々木弘志です。
重要インフラセキュリティやIoT(Internet of Things)セキュリティを専門としています。
前回は、ITとOTの人がどうして相性が悪いのか、その相性が悪い同士をどうやって融合するかについて、具体例を挙げながら考えてきました。今回は、IoT時代における新しい安心・安全を確保する上で、ITとOTの人が融合することができれば、どんな具体的な効果が生まれるのかについて説明しようと思います。
ITとOTの人が融合すると何ができるのか
「え、これリアルタイムですか?」
2016年3月、私が米国西海岸の電力会社のオフィスを訪問した際に、先方の担当者が見せてくれた画面を見て、思わずそう聞いてしまいました。その画面は、彼らの管理する変電所の電力設備の異常状態を、その異常度合いに応じて色分けして、リアルタイムに地図上に表示したものでした。
彼らのビジネス上の課題のひとつに、古くからある電力会社であるがゆえに、30年以上使用している電力設備を多く保有しているため、それらの故障による事後対応・運用コストが大きいというものがあったそうです。彼らはそのビジネス課題を解決するために、OTのデータをヒストリアンと呼ばれる制御機器データを収集するためのデータベースに集めてリアルタイムに分析し、設備が壊れる前にメンテナンスを行う、いわゆる「予知保全」を行っているそうです。結果、投資を回収するのに十分な大幅なコスト削減を実現しています。
ここで強調したいのは、彼らは、このビジネス目的を達成するために、外部のコンサルティング会社を用いて、徹底したセキュリティ対策を実施していることです。米国の電力業界では、一定規模の電力設備が従うべき罰金付のセキュリティの規制(NERC CIP標準※ )がありますので、そもそも、このような施策を進めるにあたっては、厳しいセキュリティ監査をクリアしないといけません。したがって、この取組みを前に進めるためには、単にシステムを技術的につなぐだけではなく、IT部門と電力設備を管理するOT部門の人の連携が必須となります。このような先進的な取組みが可能な背景として、米国の電力業界では、10年以上前からOTに対するセキュリティ規制があり、規制対応のためITとOTの人が連携する土壌がつくられていたことがあると私は思っています。
経営層のトップダウンの重要性
この米国電力会社が実現しているIoTの価値は、電力設備の「OTデータ」を収集することで、予知保全を実現し、最終的にメンテナンスコストの大幅な削減ができたことです。ここで大切なことは、経営レベルのビジネス課題解決が先にあり、あくまで手段としてIoTを活用しているということです。この米国電力会社は、「IoTをやりたいから何かしろ」という「IoT」が目的化したトップダウンではなく、古い設備のメンテナンスコストの削減という「ビジネス課題」の解決をトップダウンで実施した結果として、IoTの活用に至ったのです。
では、このような事例を日本であまり見かけないのはなぜでしょうか。私なりに考えてみました。日本の企業は、いわゆるミドル層が実際のビジネスを動かしていて、経営層は有能なミドル層を使いこなして、提案されたプロジェクトに承認を与えるという進め方が多いように思います。この形にはいい点も多くあるとは思うのですが、ミドル層からのボトムアップ提案が最初だと、どうしても経営者としての視点が欠けてしまうため、「IoTをどう活用すればビジネス価値が生まれるか」といったように、手段が目的化する視点に落ちてしまいがちになるのではないかと思います。一方、経営層は、普段はミドル層に提案を任せているため、自身が抱えているビジネス課題と技術的にハードルの高いIoTとの関係がよくわからないのではないかと思います。したがって、とりあえず世間で流行っている「IoT」をやることのマーケティング効果にしか目がいかないのではないでしょうか。
この問題の解決策としては、経営層が、自身のビジネス課題(コスト削減、グローバル進出等)をできるだけ明確化した上で、ミドル層にそのビジネス課題を解決するための提案をさせるという、トップダウンの進め方を行うことだと思います。解決手段として、IoT活用が必ずしも適切とはならないかもしれませんが、それは本来の姿ではないでしょうか。
そして、「IoTセキュリティ」もこのビジネス課題と結びついていなければ意味がありません。つまり、実現したいビジネス課題があってこそ、守るべき対象や属性(安全性、機密性、完全性、可用性など)が決まり、どれだけお金をかけるべきかが決まります。加えて、その実現は、IT部門とOT部門の人の連携なしにはできません。また、この連携も経営層からのトップダウンなしには実現しません。なぜなら、ITとOTの人は、もともと相性が悪いので、経営レベルのビジネス課題によってしか結束できないからです。前回ご紹介したITとOTを融合させる取組み事例に、ITとOTのセキュリティアセスメントの場に、ビジネスアナリストを同席させるというものがありましたが、これは、まさに「経営レベルのビジネス課題」によっての相互の結束を狙ったものといえるでしょう。
~最後に~
これまで4回かけて、IoTセキュリティについて考えてきました。結局、IoTやIoTセキュリティは、ビジネス課題を解決するための手段であるので、まずは、経営層がそのビジネス課題を明確に示すことが重要だと思います。そのビジネス課題の内容によっては、必要となるIoTやIoTセキュリティの戦略が導きだされ、ITとOTの人の連携へとつながっていくというトップダウンのアプローチが有効でしょう。IoTセキュリティが、システム的にも人的にも難しいという課題はあるものの、経営層の率先した参加があれば、乗り越えられるのではないかと思います。
※ NERC (North American Electric Reliability Corporation:北米電力信頼度協議会)が規定する大規模電力システム向けのセキュリティ標準。NERC配下組織によって、定期的に施設監査が行われ、違反した場合は、罰金が科せられるケースもある。
【関連記事】
IoT時代のセキュリティを考える(1) : IoT時代の安心・安全とは?
