住友化学、「攻撃は避けられない」を前提にサイバーレジリエンスを強化し続ける

　「制御システムへのサイバー攻撃には、プラントを動かすパラメーターが意図的に書き換えられるものや、機器の温度などセンサーで計測している値が改ざんされるものも考えられる」──。住友化学 IT推進部 セキュリティグループの門田 あおい 氏は、工場などが今後直面するであろうサイバー攻撃をこう分析する（写真1）。

写真1：住友化学 IT推進部 セキュリティグループの門田 あおい 氏

　住友化学の創業は1913年。現在は、アグロ＆ライフソリューション、ICT＆モビリティソリューション、アドバンストメディカルソリューション、エッセンシャル＆グリーンマテリアルズの4事業をグローバルに展開し、連結子会社数は184社、連結売上収益は2兆4469億円規模である。

防御中心の取組みに加えて、サイバー攻撃後の対策強化へ展開

　同社がセキュリティ対策として保護すべき対象は、オフィスで使われる情報システムとプラントを操業するための制御システムである。これまでは、ISMS（Information Security Management System：情報セキュリティマネジメントシステム）の考え方に準じ、セキュリティポリシーを定め必要な策を講じてきた。

　門田氏は「多層防御と減災による多面的な対策を基本に、サイバー攻撃への事前対策はもちろん、攻撃を受けた後の迅速な回復力の強化にも取り組んできた」とする。情報系と制御系の双方に対し、ISMSの対策分類に沿って、組織的、制度的、人的、技術的、物理的の5つの観点から、それぞれの特性に応じた対策を講じている。こうした取り組みにより「サイバー攻撃が現実の脅威として従業員に認識され、具体的な対応策を議論する文化が醸成されてきた」（同）

　しかし門田氏は、「これまでは5つの観点からの、さまざまな対策を講じてきたが、それだけで完璧だとは認識していない。サイバーインシデント発生時に実行力のあるセキュリティ施策にしていくためには、改善を重ねていく必要がある」とみる。今後は「常に見直している計画や対策をきちんと行動に移し、サイバーレジリエンスを強化するための実行力の向上に力を入れていく」（同）考えだ（図1）。

図1：これまでの取り組みで社員のセキュリティ意識は向上した。今後は有事に備えた対策や計画を確実に実行する力を強化する