効果的なセキュリティ対策は自社製品の品質要求の把握から【第4回】

セキュリティは求める品質に合わせて活用する

　このように、セキュリティガイドラインやセキュリティ製品は“信仰”するものでなく、自社が求める品質に合わせて活用するものである。品質と言えば、日本の製造業において品質重視の人は多い。期待外れな品質で顧客の信頼を失わないよう、現場では日々、品質向上のための取り組みが実践されている。

　しかし、セキュリティに対する現場の意識はどうだろうか。セキュリティは安全機能の一旦を担う最重要品質である。にも関わらず、これを軽視していないだろうか。実際は残念なことに、セキュリティに対して意識の低い企業が少なくない。品質に対して意識の高い現場が、なぜセキュリティに対しては意識が低いのだろうか。

　これは品質に対する絶対的な自信から生まれているのかもしれない。「従来の取り組みで重大品質問題の発生を防いできた」という自信である。そのような現場では、どうしてもセキュリティは余計な作業に見えてしまう。セキュリティはインターネット時代に生まれた新たな品質要求事項である。この環境変化を理解できなければセキュリティに対する意識は向上しない。

　もう１つの問題は、IT部門が全社で推し進めているセキュリティ対策の存在だ。そこでは一般的に品質の概念は考慮されていない。現場から見れば、セキュリティ対策の推進が、かえってリアルタイムな制御に不良をきたすなど、現状の品質を損なうように映ってしまっている。

　製造現場では、無償のハードウェア部品があったとしても、品質保証ができないのであれば、それをそのまま活用する企業は皆無なはずだ。同様に、安全品質を確保すべきセキュリティ部品も、OSS（Open Source Software）のように無償であっても、品質保証ができなければ活用しないはずである。

　それが、なぜかセキュリティになると、現場の品質は考慮されることなく、システムインテグレーターなどに言われるがまま、工場にファイアウォールやセキュリティソフトウェアを導入しているケースが少なくない（図2）。

図2：品質の考え方は製品とセキュリティとで違うものであってはならない

　セキュリティガイドラインやセキュリティ製品は本来、現場の品質を損なわないように、製品の展開国や自社の生産工法や試験方法に適したものを選択すべきである。すなわち自社の品質要求事項を考慮した選択でなくてはならないのだ。