“特殊”ではなくなった「操業停止」、事業継続に必要なOTセキュリティ対策とは

優先順位を付け“止める業務”を決める

青山 ：システム運用の発想を転換し、台風や電力逼迫時に取られている「アイランドモード」のように、サイバー攻撃を受けても重要なプロセスだけを切り離して運転を続ける「最小限のオペレーション」を設計できないでしょうか。

新 ：まず死守すべきはSIS（Safety Instrumented System：安全計装システム）です。溶鉱炉などで温度が上がりすぎた際に強制停止させる機能安全の領域は、サイバー攻撃によって人が死ぬ、汚染物質が漏れるといった最悪の事態を防ぐヒューズの役割を果たします。この領域は、ネットワークに絶対につないではいけません。まさにアイランドモードで動かすことが大前提です。

　SISがデジタル化・2重化されていても、同じCPUであればサイバー攻撃に対しては意味をなしません。異なるエンジンを載せる飛行機のように異種構成を徹底し、物理的な安全を確保すべきです。

青山 ：止めない努力は惜しまない。それでも止まってしまった場合には、保険などによるリスク転嫁の備えもしておく。ただデジタル化が進んだ現場では、手動で運用するための人員を確保できないという現実的な限界もあります。

長谷川 ：電力の現場でもマニュアル運転の仕組みは維持されていますが、リスクの大きさに応じて「いつ、どの運転形態に移行するか」という判断をいかに素早く下せるかが最大のポイントになります。

新 ：JR東日本（東日本旅客鉄道）は「Suica」のシステムが止まった際、改札を全開放しました。検札のための人員を確保できないなかで、トリアージ（優先順位の選別）により「サービスを止めてでも滞留させない」という判断を事前に決めていたからです。

　何を絶対に確保し、何を切り捨てて止めるか。この優先順位をBCPの中で事前にトリアージしておかなければ、いざという時のマニュアル運転は無計画な話に終わります。

渡辺 ：優先順位を決めることは、すなわち“止める業務”を決めることです。分厚いバインダーを神棚に飾っているだけの会社よりも、薄くてシンプルだけど日常的に訓練を繰り返している会社のほうが、実際の危機では圧倒的にうまく動けます。そこには現場への権限移譲が不可欠であり「我が社は、こういう行動原理で動く」と明示しておくことがレジリエンスの本質です。

リスク対応のシナリオ作りが当事者意識を生む

青山 ：セキュリティの重要性が増すほど、それを担う人材も、より多く求められます。優れた能力を持つ人材をいかに育て、組織全体に意識を浸透させていけばよいでしょうか。

佐々木 ：セキュリティはどうしても“自分ごと”になりにくい分野です。ですから、現場の人たちに必要な言葉、理解できる言葉でエッセンスを伝えることが何よりも重要です。長大な文書を「読んでください」とお願いするだけでは腹に落ちません。

　ワークショップの冒頭でも「セキュリティは忘れてください。みなさんの現場で起きたら本当に困るリスクは何ですか」と聞く。そこから生まれたリスクを元に自分たちでシナリオを作れば、自ずと当事者意識が芽生えます。

古川 ：私の勤務先でもロールプレイ形式の訓練を取り入れていますが、事業部ごとに製品も業態も違うため「このシナリオは自分たちには関係ない」という反応をいかに克服するかが課題です。テーラーメイドな教育をいかに効率的に提供するかが、専門人材の底上げには欠かせません。

渡辺 ：ある会社の会長が「演習当日にどう動くかよりも、リスク対応の演習シナリオを作るプロセスそのものを大事にしてほしい。これは幹部候補生の教育プログラムでもある」と話していました。部門を超えて議論し役割分担の感覚を身に付ける過程で、会社全体の視点が育つからです。

青山 ：シナリオ作成こそがリスク分析のプロセスそのものです。通常のリスク分析は「分析して終わり」になりがちですが、演習の場合は、その後に「実際に演習でリスクシナリオをシミュレーションしてみる」という楽しみが待っています。机上演習などの機会があれば、ぜひ自らシナリオを作っていただきたいですね。

　「起きたら困ること」をどう分析し、どうつなげていくか。チーム作りを楽しみながら取り組むことが、最終的に重要インフラを守る最後の砦になります。本日はありがとうございました。