「既存システムのIoT化で求められるセキュリティ」
パネルディスカッション
モデレータ
立命館大学 情報理工学部 情報理工学科 教授 上原 哲太郎 氏
パネリスト
デロイト トーマツ サイバー合同会社 サイバーアドバイザリー シニア マネージャー 松尾 正克 氏
トレンドマイクロ株式会社 IoT事業推進本部 IoTエバンジェリスト 大久保 修一 氏
アドソル日進株式会社 IoTソリューション事業部 事業部長 片山 健児
社内外の分担を見定め 上原氏
可視化と責任分担を 松尾氏
現場との連携、重要 大久保氏
古い機器は外付け対応 片山氏
上原氏 これまで遮断されていた工場などのシステムが、IoT化でインターネットにつながってしまいました。そのセキュリティをどう守るのかが大きな課題となっています。
松尾氏 それにはつながるリスクが何か?を考えるべきです。1つは「個人情報」が挙げられます。複数のデータがつながることで個人が特定できるデータにはハッキングリスクがあります。もう1つは「コネクティッド」です。例えば、GPSがハッキングされれば、通信や機器が正しく動作していてもカーナビが不正な案内をするというリスクがあります。
大久保氏 IoT製品の導入時に、セキュリティ担当者が製品選定に関与するケースは少ないとと考えます。例えば、ウェブカメラなどのIoT機器を対象にした、感染を広げるマルウエアが存在します。これにより、画像データの流出や改ざんなど、意図しない問題も発生しています。
上原氏 大事なデータの存在が認識されないままネットにつながってしまっています。
片山 収集して分析されないままのデータが、ネットから流出してしまうこともありえます。外部ネットワークに接続する際、社内ネットワーク上にどんな重要データがあるのかまず意識すべきです。
上原氏 すでにつながってしまった後の対策はどのように考えるべきでしょうか?
松尾氏 あらゆるシステムがつながると、1カ所の事故が全体の事故につながります。それを避けるためには多層防御が必要です。どこで誰が守るのか、責任分担や役割を決めておくのが基本です。そのためには「可視化」が重要です。
片山 ネットワークの接点は1カ所ではありません。複数のエンドポイントでの対策が必要になります。その際、新しいシステムはソフトでも対応できますが、古い機器は、機器そのものを触らずに、外付け的なもので保護すべきです。
松尾氏 エコシステムも重要です。人材育成が追いつかなければ、どこをアウトソースすべきか、役割分担を明確にし、チームを組んで対応します。可視化とともに自社の能力を把握することも重要です。
大久保氏 現状では、生産部門と情報部門の意思の疎通が良くありません。工場のIT化には各部門の相互理解が必要です。経営者は、戦略的に人事交流を促すなど体制づくりを進めるべきです。
上原氏 大学でも、すぐに専門人材を育成することは不可能です。アウトソースすべき部分と社内で対応すべき部分を見定める必要があります。
松尾氏 人材を自前で全部抱える必要はありません。競争領域か非競争領域なのかを判断し、アウトソースできる部分は適切に外部依頼すべきです。