住友化学、「攻撃は避けられない」を前提にサイバーレジリエンスを強化し続ける

定期的な訓練とシビアなシナリオによる演習でインシデント対応力を向上

　一方、人的対策においては「これまで取り組んできた手順や体制のさらなる強化を図っている」（門田氏）。制御システムは「サイバーインシデントによって製造プロセスを制御できなくなる可能性があり、インシデント発生時は迅速な対応と復旧が求められる」（同）

　そのため、「隔離手順や復旧に向けたバックアップの取得といった復旧手順を整理・整備したうえで、関係者全員を対象にした訓練や演習を定期的に実施し、改善を繰り返している」と門田氏は話す。

　例えば訓練では、隔離訓練と報告訓練とを事前に準備した手順や対応フローに従って確実に実行できるよう徹底して実施する。

　隔離訓練は、インシデントの疑いのあるPCをネットワークから隔離する訓練。報告訓練は、インシデント発生時に必要な、利用部門やエンジニアリング部門と、インシデント対応の専門チームであるCSIRT（Computer Security Incident Response Team）間の社内報告の実施を訓練する。

　一方の演習では、「制御PCが攻撃を受けた」など特定のインシデントシナリオを用意し、そのインシデントに対し「既存の手順や体制で対応できるかどうかを検証していきたい」（門田氏）という（図3）。

図3：住友化学が今後、取り組みたい演習のイメージ

　よりシビアなインシデントシナリオも用意する。例えば、情報系から制御系への感染拡大や制御ネットワークでの大規模感染により操業への影響が懸念されるインシデント検知や、サプライチェーン攻撃に起因するインシデント発生といった最新の脅威ヘの対応などだ。

　門田氏は「これまでは制御ネットワークに閉じたシナリオによる演習が多かった。今後はサイバー攻撃が同時多発し、制御系だけでなく、情報系にもインシデントが発生した際に対応できるかどうかを含め確認していきたい」とする。ただ、そこでは情報系と制御系の両方に対応できるメンバーが限られるだけに「双方の担当者が連携しながら対応することを目指す」（同）考えだ。

　近年は、ランサムウェア攻撃など制御ネットワークでの大規模感染の拍車がかかっている。そのため「これまでの手順や対策は十分なのか、セーフティへの影響はないかのかを含め、演習内容を見直し、高度化を図る」という（門田氏）。サプライチェーン攻撃においても「自社だけでなく、他社が攻撃被害を受けた際に、どんな影響がでるのかを踏まえ、演習を通じ課題を抽出していく」（同）

　今後の重点領域としては「演習と訓練を両輪で実施し、インシデント対応能力を高めること」（門田氏）を挙げる。具体的には「演習シナリオの種類を増やし、さまざまな種類や難度のサイバーインシデントに対応できるようにすると共に、訓練により基本的なスキルの習得と正確な対応力を養っていく」（同）とする。

　門田氏は「これまで実施してきたセキュリティ対策や計画を実行に移し、サイバーインシデントに対応できる実行力を強化していく。セーフティを意識した推進体制も、さらに強化していかねばならない。多層防御を突破されることを前提に、より難易度の高い演習にも取り組みながら改善活動を続けていく」と決意を述べる。