先週4月20日付けウォール・ストリート・ジャーナル紙が報じたところでは、米サイバーセキュリティの新興企業タニウム(Tanium)が、顧客だった病院内部のネットワークの動画情報を無断で数年間にわたり、自社製品の導入事例として紹介していた、という。この記事からは「病院内部」という特殊環境におけるネットワーク情報が対象であることや、「顧客に無断で」というサイバーセキュリティ企業としてはお粗末で危険な顧客情報の取り扱い意識が読み取れるが、ここで注目したいのは、特殊領域におけるサイバーセキュリティ対策の情報共有の難しさである。
産業用サイバーセキュリティ対策の問題点は、その情報領域が特殊化し、また具体化すればするほど、情報が共有しにくくなるところにある。タニウムのようにエンドポイントのリアルタイムセキュリティソリューションで過去10年間成長を遂げてきた企業の場合に限らず、技術サプライヤが導入技術の成果を効果的にデモしようとすれば、特定領域の生データを扱いたくなる。他方、例えば、サイバーセキュリティ対策に投資を検討中の産業用制御システム(ICS)のエンドユーザ側からすれば、導入事例とその効果は具体的でなければ意味がない。にもかかわらず、その具体性こそがサイバー攻撃を誘引するリスクを伴うことになる。
実はこの情報共有の難しさは、IIoT の導入を通じて進行中の企業のデジタル変革にも波及する問題である。近年、多様なモノとモノがつながるIIoT の成果を運用の効率化や業務成果に継続的に結びつけるために、企業のデジタル基盤の整備こそが先決であることが意識されるようになった。日本国内でも企業内、グループ内の基盤整備を軸としてデジタルエンタープライズへの取組みが始まっている。とはいえ、どんな大手製造事業者も、既存の生産設備を稼働させながら、企業全体の基幹網を一挙にデジタル化することは不可能といっていい。勢い、第一フェーズ、第二フェーズといったように段階的にデジタル技術を導入し、適用範囲を拡張することになる。
セキュリティの専門企業による遠隔監視をはじめとするサイバーセキュリティの新技術の導入も、このデジタル基盤の整備とともに進行する。しかし、この段階的なデジタル化を進める間、整備が進んだ領域と、これから整備する領域との間に、セキュリティ対策度のギャップが生じる。セキュリティを固めた工場・プラントもあれば、まだ対策が手つかずの工場・プラントも混在する状況は、つまるところ、企業のエコシステム全体がデジタル基盤で整備が完了するまで解消しない。この間、企業管理者は具体的なデジタル化進捗の開示に慎重にならざるを得ない。その結果、同じ業界内であってもIIoT を活用したデジタル基盤の整備に関する情報共有が一向に進まない、ということになる。
サーバイセキュリティ対策に関する有用で具体的な情報の取得は容易ではない。とはいえ、業界団体のセキュリティ部会活動や標準規格調査等の活動を通じて同業他社からの情報をきめ細かく集め、また複数サプライヤのイベント参加などを通じて導入可能な技術情報などを収集して回ることは可能である。そのためにも、製造現場のサイバーセキュリティ担当者が、プロセス制御エンジニアや、機械エンジニアや、ケミカルエンジニアの兼務状態を脱して、一日も早く専門業務として情報収集に専心できる体制を確立し、その一方で、企業組織内にそのようなサイバーセキュリティ専任担当者のキャリアパスを確立することが望まれる。