積水化学工業 セキュリティ組織（前編） – 幅広い事業のセキュリティを下支えする鍵は「標準化」

セキュリティ組織は、社長が管轄する委員会の指揮系統下に

デジタル変革推進部の業務領域について教えてください。

デジタル変革推進部は2020年の4月にできた部署で、ビジネスプロセス変革グループと情報システムグループで構成されています。前者はDX推進など「矛」の役割を担っており、基幹システムの統一や、各部門で利用するクラウドサービスの導入といったビジネスプロセスの革新に関するプロジェクトに取り組んでいます。一方、私が長を務める情報システムグループの役割は「盾」です。いわゆる情シス部門としてITインフラ、ネットワークの運用・保守や、セキュリティに関する業務に従事しています。

現在、ビジネスプロセス変革グループには23人、情報システムグループには17人が所属しており、計40人の陣容で、グループのDX推進やセキュリティを攻守の両面から下支えしています。

グループ全体のセキュリティ体制と、そのなかでの原様の役割についてお聞かせください。

最上位に社長が委員長を務めるサステナビリティ委員会、その下にサイバーセキュリティ分科会があり、全社的なサイバーセキュリティを管掌する役員であるCISO（最高情報セキュリティ責任者）が分科会長となっています。分科会は、役員を対象として年に1～2回開催し、情報共有のほか、年度計画のブラッシュアップと承認を行うのが大きな役割です。

私は分科会から指示を受けるサイバーセキュリティ推進部会の長を務めていて、実働部隊であるサイバーセキュリティセンターを管轄しています。平時には、各カンパニー（事業組織）の部長クラスを対象とした推進部会の会合を四半期に1回開き、インシデントの発生状況や対応報告、セキュリティ対策の進捗状況、世間的なトピック・動向の紹介といった情報共有に努めています。

現場のサイバーセキュリティセンターには専任のセンター長がおり、セキュリティの戦略・企画の立案に携わっています。センター長のほかに2人の担当者がいますが、こちらはほかの業務と兼任で、インシデント発生時にチームに加わってもらっています。また、IT機器やネットワークの異常を検知するための監視・通知業務を行うSOC（Security Operation Center）は、24時間365日稼働する必要があることから、外部企業に委託しています。

また当社のCSIRTは、いま紹介したサイバーセキュリティ分科会、サイバーセキュリティ推進部会、サイバーセキュリティセンター、外部のSOCの4組織で構成し、緊急時には子会社の株式会社NTTデータセキスイシステムズと協力して対応にあたります。現在、このCSIRTでカバーしている範囲は国内のグループ企業のみですが、これをグローバル（2023年3月現在71社）にまで展開しようと準備しているところです。

多様な事業のセキュリティを一手に担うための「標準化」

各カンパニーにも専任のセキュリティ担当者を置いているのでしょうか。

カンパニーに専任のセキュリティ担当者はいませんが、経営管理部門、技術統括部門でそれぞれ兼任の担当者が決まっており、先ほど紹介したような分科会や推進部会を開く際には少なくとも両部門1人ずつ参加しています。またカンパニーに紐づく関連会社には、各社で情報システム管理者（責任者と担当者）を任命してもらって、現場で何か問題があった時の報告や、こちらからの指示・報告を円滑に行えるようにしています。

こうした報告や指示・報告がきちんと通るようにするために、「AgentBook（情報システム管理者名簿システム）」が役立っています。情報システム管理者として任命された人は、この名簿に名前や連絡先が登録され、以降、我々からの連絡はすべてその人宛に送られることになります。異動などでその人が部署を離れる際には、自身で名簿の登録内容を後任の人のものに変更してもらいます。変更しないと異動先の部署に移ってからも、前の部署の情報システムに関する指示がその人に送られてきてしまうので、変更せざるを得ないわけです。この仕組みのおかげで名簿は常に最新の状態に保たれ、誰がその部署の情報システム管理者かわからないという状況を回避できています。

カンパニーや関連企業ごとに事業内容が大きく異なるなか、グループ全体のセキュリティを守っていくために意識されていることはありますか。

「標準化」を重視しています。PCやそこにインストールするソフトウェア、ネットワーク機器、通信状況やデバイスのふるまいをデータとして収集するツールは、住宅分野やケミカル分野など、どの事業分野においても全社で標準化するようにしています。みんなが違う道具を使っていると、書き出されるログがバラバラになって分析が困難になってしまいますが、それを統一しておけばデータの粒度が揃い、SOCでの監視もサイバーセキュリティセンターでの分析も容易になります。

この標準化は、国内では上手くいっているのですが、これから行おうとしているグローバルなセキュリティ体制強化の取り組みのなかでは、大きな課題となっています。ある国で製造された機器を他国で使えないなど、各国の法規制がハードルとなることがあるためです。まさにいま、グローバルでの標準化に向けて、法務部門と密に連携しながら対応に取り組んでいます。

OTセキュリティの施策として、すべての工場を集中管理

オフィス業務を対象としたサイバーセキュリティに加えて、製造現場のOTセキュリティにも力を入れているとのことですが、具体的にはどのような対応をとっていますか。

工場を持つグループ企業では、オフィス用LAN（OA-LAN）と工場用LAN（FA-LAN）のネットワークを直接通信させないために、ファイアウォール（FW）を設置しています。どちらかがマルウェアに感染したり、ハッカーに侵入されたりしたときに、被害が全体に広がるのを避けるためです。どうしても両者を接続させなければならないときには、DMZ（DeMilitarized Zone：緩衝地帯）を設けて必要な通信のみを許可するように設定しています。これが制御系システムのセキュリティにおける基本的な方策です。

さらに当社では、2016年までに、国内の全生産事業所に工場用ファイアウォール（FA-FW）を設置して、「FA-Stat」という独自のツールで集中管理する体制を整えています。工場単独で監視・管理ツールを入れている企業はあっても、すべての工場を集中管理しているのは珍しいかもしれません。また、工場用ファイアウォールの設定は管理側が行い、現場で勝手に設定を変更できなくすることで、管理の効率化とセキュリティ強化を図っています。ファイアウォール機器のEOL（End Of Life：使用期限）やリースアップ（リース満了時期）も、FA-Statで管理できるようになっています。

コロナ禍では、なるべく人が工場まで来なくてもすむよう、保守担当者がインターネット経由でメンテナンスを行える「FAリモートメンテナンス」という仕組みもつくりましたし、最近では「工場に蓄積されている品質データ、生産管理データをクラウドのAIサービスで分析させたい」という要望を受けて、工場用のクラウドファイアウォールを通じて安全にインターネットにアクセスできる「FAインターネット」を整備しました。FAインターネットは、クラウドファイアウォールを接点として、工場間のシステム連携を可能にするという副次的なメリットも生んでいます。

サイバーセキュリティ関して、組織的・技術的にさまざまな策を講じられているのですね。次回はセキュリティに関わる人材面のお話を伺いたいと思います。

関連する記事

積水化学工業 セキュリティ組織（後編） – 役員から新人まで、セキュリティについて「自ら考える」ことを重要視

（取材・文：渡邊智則、写真：岩田伸久）