悩み(5) IoT機器が「シャドーIT」化している

e社では、ITを業務に利活用し、より効率的に業務を図るべく、製造部門が主導となり、一部業務にIoT機器が導入されている。

しかし、内部監査において、IoT機器の導入に際して、情報システム部門が十分に関与できていないことが問題として指摘された。

製造部門が使用する制御システムは、外部ネットワークとは切り離されているため、IoT機器もこれまでの制御システムと同様に導入していた。そのため、外部ネットワークとの接続を考慮したセキュリティ要件の検討が漏れている可能性があることが発覚した。

内部監査での指摘を踏まえ、e社は以下の対応を行った。

• IoT機器導入も、通常のシステム導入と同様に情報システム部門が関与するようルールを修正した。
• 製造部門と情報システム部門を巻き込んだIoTビジネス検討部会を設置した。
• IoT機器も含めて社内ネットワーク上に不正に機器が接続された場合に検知可能な製品を導入した。
• 既に導入したIoT機器について、利用者側で考慮すべきセキュリティ上の考慮漏れがないか、公知の情報(注釈)を参考に再度見直しを行った。
• なお、上記の見直しの結果、IoT機器の管理者用IDのパスワードが初期設定のままとなっている事が発覚したが、幸いにもサイバー攻撃の踏み台にされる等の事故は未然に防ぐことができた。

e社の情報システム部長は、IoT活用は自社が今後もビジネスで優位性を保つためには必須であると考えている。

一方で、IoT機器を導入することにより、これまでの”情報漏えいリスク”だけではなく、機器停止や誤作動等による”業務停止のリスク”や、最悪の場合には”人命に関わるリスク”を招きうる。

可用性や物理的な安全性も十分に考慮するためには、これまでと異なるアプローチや体制が必要だと考えている。