住友化学株式会社 重森隆志 Shigemori Takashi
-
- 重森隆志(しげもり・たかし)
-
住友化学株式会社 専務執行役員
1983年4月住友化学入社、約20年に及ぶ海外勤務後、2018年4月より経営企画、IT推進を所管し、経営計画の策定やIT・デジタル技術の活用推進に取り組んでいる。
「命にかかわる」業務のコントロールを失うことが最大のリスク
御社は、サイバーセキュリティ対策として、どのようなものを実施されているのでしょうか。また、御社がサイバー攻撃を受けた際の事業リスクを、どのようにお考えでしょうか。
重森 まず当社の体制としましては、内部統制委員会が経営の直下にあり、リスクを毎期レビューしている状況です。そこでは、リスクマップをつくり、各リスクの発生頻度とそのインパクトの大きさを俯瞰できるようにしています。当然、サイバーセキュリティもリストアップされています。
言うまでもなく、サイバーセキュリティを含むIT関連のリスクは、非常に大きなものです。そのため当社では、コーポレート部門の一つであるIT推進部がグローバルを含めたグループ全社に横串を刺す形でIT全体を管理し、内部統制・監査部が情報システムセキュリティ監査を、レスポンシブルケア部がRC監査の一環で制御系のシステムセキュリティを見ています。当社は事業部門制を採用しており、エッセンシャルケミカルズ、エネルギー・機能材料、情報電子化学、健康・農業関連事業、医薬品の各部門に、国内外の関係会社がぶら下がる形をとっています。つまり基本的に、関係会社の運営は各部門が責任を担っているのですが、ITに関する指導はグローバルを含めてIT推進部が担う、という建て付けです。
化学工業のような業種は、危険物を扱います。その製造プロセスをサイバー攻撃によって乗っ取られ、コントロールできなくなるようなことが最も受け入れ難いリスクです。「人の命にかかわる」部分ですので。
当社においては、化学製品の開発から製造・物流・使用・最終消費を経て廃棄に至るライフサイクルにおいて「安全・健康・環境」を確保する取組みなどに従事しているレスポンシブルケア部と共に基本方針を定め、どのプラントのどのプロセスにどんなファイアウォールを入れるか等を検討し、導入しています。また製品の「品質」についても、コントロールを失えばお客様に対して、非常に大きな影響を与えることになってしまいます。その点についても同様のアセスメントをしながら、対策を行っています。
そのほか、経理や人事などの情報システムについても、誰にどのようなアクセス権を付与するか等、データインテグリティや可用性ともバランスを取りながら、セキュリティ対策を講じています。
次の備えとして検討しているのは「経済安全保障」への対応です。当社の研究データ、製造・品質管理データなどへのアクセスの設定を一度見直す必要があると考えているところです。
IT推進部が横串として、グローバル規模で機能しているというお話は、非常に興味深いです。国によって文化も違えば、セキュリティに関するリテラシーも、サイバー攻撃の脅威の度合いもまったく違うのではないでしょうか。
重森 おっしゃるとおりです。例えば、セキュリティをあまり気にしない国がある一方で、米国のようにしばしばサイバー攻撃を受けている国もあり、セキュリティに対する感度が地域ごとにまったく違います。我々も「もし日本で起きたら?」と、考えさせられることがしばしばあります。
加えて、当社グループをグローバルに統制するにあたって難しいことは、どこまでを各拠点に任せて、どこからは私たちが担うのかの線引きです。特にセキュリティに関しては、例えば「このソフトはセキュリティチェック済なのでグローバルに標準仕様として使って良い」等、ガイドラインを定めています。また、日本と各拠点の距離感を少しでも縮められるよう、定期的に人員を派遣し、現地の状況を的確に把握するよう努めています。
また、新型コロナウイルスが発生してからは開催することが難しくなっているのですが、各拠点の経営層には、グローバルマネジャーズミーティングという形で、年に一度、各拠点から日本に集まってもらい、議論する場を設けています。セキュリティ関連についてはほぼ毎年私が、インシデント紹介等、繰り返し講義や注意喚起をしています。
経営トップのリーダーシップによってセキュリティ対策を進める必要があるのは、どの国のどの拠点でも同じであるはず。トップ同士が集まり、セキュリティ意識を高める機会は、重要ですね。
重森 その点で意外に難しいのは、ITはお金がかかる、ということです。時折、過度の節約を試みようとする関係会社があります(笑)が「それならネットワークに繋がせない」と、セキュリティ関係の投資は妥協しないよう意識付けをしています。
「工場のセキュリティとオフィスのセキュリティでは考え方が違い、一律で推進するのが難しい」という声を聞くことがあります。御社のIT推進部は、オフィスのセキュリティのみならず、工場の制御系のセキュリティも管轄しているのでしょうか?
重森 管轄というか、責任を担う形にしています。当然ながら、工場系のシステムそのものは、工場にいるエンジニアが検討します。しかし、セキュリティの部分に関しては我々がチェックをかけ、ネットワークやファイアウォールの構成等々についても、責任を負います。
御社のように、工場側の制御系と情報系のセキュリティを一元的に管理し責任を負う体制は、以前はあまり類例がなかったものです。御社はいつからこの体制になったのでしょう?
重森 2013年からです。特別にインシデントが起こったことがきっかけではありませんが、セキュリティ対策をするなら、工場側とシステム側が協力する必然性があった、ということだと思います。
なぜなら、工場側の人たちはネットワークすべてについては把握することは難しいでしょうし、システム側の人たちは工場にあるプラントそのものについては詳しくありません。それならば、お互い協力しない限り、工場のセキュリティを高めることはできないでしょう。双方からメンバーを出し合ってワーキンググループを作り、コミュニケーションを増やしながら、今の体制を構築していきました。
セキュリティ対策は、実施したからといって「売上が上がる」など、わかりやすい結果が出るものではありません。事業面において、セキュリティ対策が良い効果をもたらすとしたら、どのような点が挙げられるでしょう。
重森 それは第一に、お客様からの信頼だろうと思います。お客様に対して安定的に製品を供給できる体制を維持すること、また製品の品質や安全性を維持することは、お客様との長期的な関係を構築するにあたっては、非常に重要です。セキュリティ対策はそのためのベースとなる部分を構築するものではないでしょうか。
日本では幸い、これまで社会生活に影響が出るほどの大きなインシデントは起きていませんが、海外諸国はすでに「いつ何時、どんな攻撃があるかわからない」状況に置かれていますし、「パイプラインが全部止まった」といったような報道を見聞きします。そのようなことを起こさないような事業基盤を、我々は構築しておきたいと思います。あるいは、世の中で大きな事故が起きている時に、当社が適切に対応できたとなれば、そこで獲得できる信頼は大きなものであるはず。ご指摘のように、セキュリティ対策は目に見える結果がすぐに出るものではないかもしれませんが、それでも少しずつ、信頼を確立していけるだろうと考えています。
必要なセキュリティ対策の予算に「ノー」はない
取引先を含めて、サプライチェーン全体でのサイバーセキュリティ対策を、どのようにお考えでしょうか。
重森 これはなかなか難しい問題だと思います。例えば、原料やサービスの供給をしてくださる会社や当社のお客様も様々です。規模が小さい会社などは、もしかすると、セキュリティ対策が追いつかない可能性もあります。課題を抱えている方々に対しては当社がアセスメントしながら、協力してリスクを分散していく必要はあるだろうと思います。現在、当社は「産業横断サイバーセキュリティ検討会」などに参加し、業界を横断したサイバーセキュリティの情報共有や産業界全体のレベル向上に向けた活動を行ったり、日本化学工業協会、石油化学工業協会といった業界内でのサイバーセキュリティ対策に取り組んだりしています。しかし、当社として独自のガイドラインを提示してサプライチェーン内の各社に守っていただくには至っていません。
もしも、何かしらガイドラインをつくるなら、例えば「石油化学業界として」というように、業界毎のガイドラインが必要だと思います。一例を挙げれば、自動車業界は、「これに従って各社は点検してください」というガイドラインを業界としてすでに出されています。いずれは石油化学業界もそのような動きが出てくるのではないでしょうか。
とは言え足元では、まず当社から見えている範囲をしっかり守れるよう、動いていきます。
セキュリティ対策に必要となる人材や予算については、どのように確保していますか。
重森 セキュリティ対策に取り組む人材については、基本的に社内人材を育成していく方針です。IPAの「中核人材育成プログラム」に1~2年に1人ずつ送り出しています。ITセキュリティ予算については、たまたま私が予算を統括していることもあり、セキュリティに関するものに「ノー」を出したことはありません。経営トップにとっても、セキュリティ対策は優先事項です。もちろんしっかり精査はしますが、基本的には必要な予算を確保していきます。
やはりIT推進部と言う、全社的にセキュリティを見る部署があると、しっかりとガバナンスが効き、予算もとれると言うことでしょうか。
重森 IT推進部が頑張ってくれているおかげです。とは言え、本当に大変な仕事だと思います。カバーする範囲が広いですし、どこか1つ、対策に穴があったらひどいことになってしまいますから。
経営者の役割として、ステークホルダーへの説明があります。株主やお客様、あるいは取引先と、社会に向けてセキュリティ対策の取組みを説明する際、考慮していることはありますか。
重森 当社が発行している「サスティナビリティ データブック」のなかで、情報システムについてはこのような仕組みで、こういった対策を講じていますとご説明をしています。株主の皆様にお届けしている各種発刊物の中にも、やはりサイバーセキュティ対策に触れているページがあります。営業担当が、お客様から個別に問い合わせを受けた場合などは、私どもが直接ご説明をすることもあります。
そうした情報をステークホルダーの皆様にお伝えすることで、どのような効果があるのか、どれだけ評価をしていただいているのか、実感としては掴みにくいところもありますが、例えば証券アナリストや投資ファンドの方々などは細かくガバナンスの観点から資料を見ていらっしゃるので、「この会社はここができている・できていない」などとチェックされているのではないかな、と思っています。
そのほか、サイバーセキュリティ対策の一環として御社が取組んでおられることがあれば、教えてください。
重森 IT推進部内にCSIRTを設置し、当社グループ内のシステムをモニタリングし、セキュリティインシデント情報を収集する仕組みを整えています。
最近気になっているのは、サイバー攻撃のリスクの大きさの理解ですね。昔は「そんなことが本当に起こるのか」と思う者が大半だったかもしれませんが、重大インシデントの発生はどんどん現実味を帯びてきていますし、いざ攻撃を受けたときのダメージも、大きくなっていると思うのです。どんな攻撃を受けるのか、攻撃を受けたらどれほどのダメージがあり、どういった対応をするべきなのか、もっともっと理解を深め、BCPを適宜見直していく必要があると考えています。
確かに、いざ攻撃を受けたときに受けるダメージの大きさや、ダメージを受ける業務の範囲の広さが以前よりも深刻になっているように思います。
重森 例えば、ペーパーレス化が進んでいる状況で、そのドキュメントのデータが失われてしまったら、どうなるのか。バックアップデータが3日前までのものしかなかったら、どうなるのか。
そうですね。ペーパーレス化が進んだことで、紙の時代ならできたことが、できなくなってしまったケースがあります。BCPの考え方も、変わってきます。
重森 システム化が進めば進むほど、システムが止まったときのダメージも大きくなり、そして、今後はますます大きくなっていくでしょう。極端な話、「システムが止まったから、さあ今から手で仕事をしろ」と言われたら、非常に困るわけです。私のように昔のやり方を知っていれば良いのですが、若い人はパソコンが前提で、単純に過去に戻れるわけではありません。これからも、新しい便利な技術を活用しながらリスク予防を考え続けなければならない。課題は、たくさんあります。
住友化学の取組み
