- Column
- 実行性が問われる産業サイバーセキュリティ
積水化学、工場セキュリティと利便性の両立を目的にインシデント対応訓練を実施
「重要インフラ&産業サイバーセキュリティコンファレンス」より、積水化学工業 コーポレート デジタル変革推進部 真田 修一朗 氏
現場の対応力を高めるインシデント対応訓練が重要に
そこで積水化学が実施しているのが「現場が異常に迅速に気づき適切に対応できる」(同)ことを目的にしたインシデント対応(IR:Incident Response)訓練である。
IR訓練は元々、経営層に向けて2020年から年1回、実施してきた。これを2023年から製造現場にまで拡大した。主要4事業それぞれで1つの工場を選び、工場長と生産・設備・情報システムの責任者や担当者が出席。他にもカンパニーOT管掌部門とコーポレート情報システムグループに加え、セキュリティベンダーなどが参加する。
IR訓練は全体で約2時間の内容になっている(図2)。大まかな流れとしてはまず「世間のOTセキュリティ情勢」と「積水化学のOTセキュリティ」に関する座学を受ける。その後、訓練対象工場においてインシデントシナリオを用いて、実際にインシデントが発生した際に、どのような行動を取るかを参加者間で認識を合わせるというものだ。
関係者間での相互理解が進むよう「訓練以外にも、工場見学や、セキュリティと利便性の両立に向けたテクノロジーの活用方法などを両者がディスカッションできる機会を設けている」(真田氏)という。
IR訓練の基本的な進め方は、訓練対象工場のネットワーク構成や、工場の体制・役割といった前提条件を共有したうえで、(1)イベント投下、(2)ワーク(ディスカッション)、(3)解説を3回繰り返す(図3)。2023年度のIR訓練で用いられたイベントは以下の通りである。
イベント1:エスカレーションフローの確認
インシデント発生時の適切なエスカレーション手順を確認する。
生産ライン1のPCでウイルスが検出されたというイベントを投下し、工場関係者間で正しく情報伝達がなされ、OT管掌部門とコーポレート情報システムグループへ迅速にエスカレーションされるかどうかを確認する。エスカレーションだけでなく、正しい初期対応を認識・実行できるかについても問う。
イベント2:管理資料、最新維持の重要性
インシデント対応チームが組成された際に必要な管理資料について考える。
ウイルス発生時には、端末一覧やネットワーク構成図から影響範囲や対応方法を検討する必要がある。だが資料が最新でなければ適切な判断は難しくなる。訓練では「過去のインシデント事例も交え、管理資料の不備が対応を困難にした経験を共有し、最新の情報を維持する重要性を実感してもらう」(真田氏)
イベント3:生産・出荷停止リスクの把握
インシデントによる生産・出荷停止判断について、関係者がディスカッションし認識を合せる。
イベント1、2を通して、インシデント対応は進むものの各システムの復旧メドが立っていない状況下で、生産や出荷を継続できるかできないかを関係者で議論する。「生産・出荷を継続するため」「インシデント被害を最小限にするため」には、日頃から、どのような対策が必要かも議論する。
実際の訓練では「ネットワーク構成を訓練対象工場の実態に合わせて、より詳細に作りこむことで、イベント3における議論が活発になるよう工夫している」(真田氏)という。
IR訓練は現場の理解を深める貴重な機会に
IR訓練に対し受講者からは、有事に備えた代替プロセスの重要性や、工場内での正確な情報伝達の重要性への理解や、インシデント発生時に生産・出荷を継続するためのシナリオ作成の必要性を実感する意見も複数寄せられた。
「OT機器の資産管理の重要性に気づくきっかけになったという声や、訓練を従業員全体に広げるべきとの意見、インシデント時の情報集約と対外発信の方法を検討すべきとの指摘もあった」(真田氏)という。
これまでに2年間実施したIR訓練は、受講者から高い評価を得ると同時に「コーポレート部門にとっても現場の理解を深める貴重な機会になった」と真田氏は振り返る。同社が掲げる「セキュリティと工場の利便性向上の両立」に向けては「ITとOTの垣根を越えた議論を継続し、IR訓練などの取り組みを継続していきたい」(同)考えだ。