パナソニックHD、グループ全体のOTセキュリティ統合管理体制を確立しSOCノウハウの外販も

　「パナソニックのCSMS（CyberSecurity Management System）は従来、情報システム、工場、製品の部門単位に最適化されており全体最適の視点に欠けていた。それぞれがバラバラに取り組むのではなく横串を刺した活動に切り替えるため2023年度から新しい体制を構築し運用している」−−。パナソニックホールディングス サイバーセキュリティ統括室（兼）製品セキュリティセンターの松本 哲也 氏は、こう話す（写真1）。

写真1：パナソニックホールディングス サイバーセキュリティ統括室（兼）製品セキュリティセンターの松本 哲也 氏

ホールディングスに全体を統括するサイバーセキュリティ統括室を設置

　パナソニックグループが、全社の重要リスクとしてサイバー攻撃を選定したのは2019年度のこと。ホールディングスの下に８つの事業会社があり、ホールディングスと各事業会社は生産技術、情報システム、製品セキュリティの３つの部門で結びついている。ホールディングスに各部門の責任者を、各事業会社に担当セキュリティ責任者を置き、それぞれが連携してきた。

　生産技術部門は、工場の設備やシステム装置など製造システムのセキュリティを担当。情報システム部門は、IT（Information Technology：情報技術）のセキュリティ対策を担当する。製品セキュリティ部門は、機器や装置であるハードウェアと、それにサービスを提供するサーバーなどのシステムから構成される製品 のセキュリティに対応するが、IoT（Internet of Things：モノのインターネット）のセキュリティについては、製品セキュリティ部門が担当。そのうえで、必要に応じて3部門が現場レベルで連携していた。だが クラウドの利用では、ITセキュリティと製品セキュリティが同様の状況にあるなど「グループ全体としての役割と責任を持ったセキュリティ統括機能はなかった」と松本氏は振り返る。

　グループ全体を統括するため2023年度に、ホールディングスにサイバーセキュリティ担当役員を置き、サイバーセキュリティ統括室を新設した。３部門にあった縦のラインの執行機能は、そのまま生かしながら、各事業会社にもサイバーセキュリティ統括責任者を「CxOクラスで設置し、グループ全体の連携を深めた」（松本氏）という。

　サイバーセキュリティ統括室の役割は、部門間の共通施策策定と大規模複合型インシデントへの対応の2点に集約できる。共通施策としては、（1）共通ルールの策定、（2）インソースの部門間での共有 、（3）サイバーセキュリティ法令や規制への対応、（4）OT（Operation Technology：制御・運用技術）セキュリティでのリソース不足への対応、（5）セキュリティ技術の研究開発、（6）バリューチェーン全体への活動の拡大など、主に6 つに取り組んでいる（図1）。

図1：パナソニックＨＤ内にあるサイバーセキュリティ統括室の位置付けと取り組み内容