プラクティス10-3 業界団体を活用したセキュリティ対策に関する情報共有活動
従業員数10,000名規模の製造業であるZ社は、自社並びにサプライチェーンを構成する関連会社における工場生産管理システムのセキュリティ対策に悩みを抱えていた。システムは様々な製造工程と連携しており、セキュリティパッチを適用する等の対策は業務への影響を考えると容易にできなかった。
そこでZ社は、ネットワーク監視を含むセキュリティ対策の導入を進めることにしたが、制御システム専用の通信プロトコル等Z社の要件を満たす製品が市場に存在していなかった。そのため情報システム部長は、同業他社が同様な課題を持っているか情報共有に向けた活動を行うことにした。
Z社の実践のステップ
情報システム部長が実践したステップは以下の3点である。
- ①業界団体の勉強会等で機会を設け、制御システムのネットワーク監視に関する課題を説明する
- ②勉強会で興味を持った有志でセキュリティ機能要求について検討する
- ③上記機能要求について、ベンダやメーカーに対し、開発可能性を相談する
Z社の実践内容
同業他社も同様の悩みを抱えていることを認識し、その悩みを解決するためのセキュリティ機能要求について、業界団体の他社に呼び掛けて有志で検討してみた。検討においては、関連会社や同業他社のシステムでの導入を想定し、各社固有のカスタマイズを排除した。業界団体に参加しているベンダやメーカーに対し、検討したセキュリティ機能要求をできるだけ多くカバーする製品の開発可能性を相談した(後日、ベンダは業界でのニーズを把握できたので、製品開発を検討し始めた)。
セキュリティについて、他社との差別化を図るのではなく業界全体で取り組む課題と捉え、中長期的な目線での情報共有や対策検討をすることとした。
表1 業界団体の例
| 分類 | 活動概要 |
|---|---|
| 業界ISAC | 金融、電力、ICT、交通、医療、自動車、商社(日本貿易会)、ソフトウェア等各業界の民間事業者同士でセキュリティ情報の共有、分析、対策検討 |
| セプターカウンシル | 重要インフラの情報セキュリティ対策向上のため、分野横断的な連携推進 |
| フィッシング対策協議会 | フィッシング詐欺に関する事例情報、技術情報の収集及び提供 |
| 日本シーサート協議会 | インシデント関連情報の収集、分析、対応方針や手順の策定 |
| CSSC | 重要インフラの制御システムセキュリティについて研究開発、人材育成、普及啓発等 |