サイバーセキュリティ専門組織で商品の対策を強化
― DXを背景に商品のライフサイクルを通じたサイバーセキュリティ対策状況を審査する専門組織を設置 ―
インターネットを通じたサービスの利用が浸透する中、拡大するサイバー攻撃の脅威に備えたセキュリティ対策が重要なテーマとなっています。アズビルでは、提供する商品の企画、設計・開発から運用に至るライフサイクルを通じたセキュリティ対策の強化を念頭に、商品サイバーセキュリティ審査室を設置。azbilグループの商品やサービスの利用に際しての安全性を高いレベルで確保すべく施策を展開しています。
DXが急速に発展する中でサイバーセキュリティの重要性が増大
各種業務システムはもちろん、スマートフォンなどの情報デバイス、さらには電化製品や自動車に至るまで、人々の社会活動を支える多くのものがインターネットに接続されている昨今、コンピュータウイルスなどによるサイバー攻撃や、サイバー空間におけるセキュリティ事故の脅威はますます拡大しています。それに伴い、社会全体における重要なテーマとなってきているのが、サイバーセキュリティ対策の強化です。
このような動向は、azbilグループが展開するビジネス領域においても顕著です。例えば、プラントや工場では、これまで情報セキュリティ上の懸念から、プラント・工場内の制御システムは外部ネットワークとは接続せず、自社内の閉じられたネットワーク上で運用されてきました。しかし近年では、デジタルトランスフォーメーション(DX)やIndustry 4.0*1などの潮流の中で、それらシステムの運用データをIoT(Internet of Things)やAIと連携させて新たなビジネス価値の創出につなげていこうとする取組みが加速しており、あらゆる場面でシステムを外部ネットワークと接続する必要性が高まっています。もちろん、プラントや工場以外の建物分野、ライフラインを支えるガスや水道の供給分野も同様で、azbilグループが提供する機器やシステムが外部ネットワークと接続されて利用されるケースは急増しています。
企画、設計・開発、運用の全フェーズにセキュリティの視点を盛り込む
こうした環境変化を見据えアズビル株式会社では、azbilグループが提供する機器やシステム、クラウドサービスといった商品にかかわるサイバーセキュリティ対策の強化を推進していくため、その専門組織として2019年4月に商品サイバーセキュリティ審査室を設置。社員の情報セキュリティリテラシーの向上はもちろん、サイバーセキュリティを意識した商品開発、お客さまの現場に納入後も情報セキュリティ事故に遭わない商品の提供を目指し、会社として体系立ててサイバーセキュリティに取り組んでいます。
これまでセキュリティ対策は、商品を開発・提供する個々の部門に委ねられてきましたが、サイバーセキュリティに関しては、商品サイバーセキュリティ審査室が様々な専門知識や収集した情報を結集し、azbilグループを横断する形でセキュリティ視点でのルールや方針を策定。各事業部門で行う商品企画、設計・開発から、お客さまの現場に導入された後の商品運用に至るまで、ライフサイクル全般にわたるセキュリティ対策を確実に実施していくための体制を整備しました。これにより、従来の設計から販売開始までの商品開発のプロセスに、サイバーセキュリティ上のリスク分析やアセスメント、より高度なセキュリティ対策などのプロセスが組み込まれています。
商品サイバーセキュリティ審査室は、メンバーを開発プロジェクトへ参画させて商品の企画・設計段階からサイバーセキュリティに対応した開発の支援を行い、そのプロセスの工程ごとにチェックを実施、セキュリティ確保のためのアドバイスや確認、商品のリリースに先立つセキュリティ視点での総合的な審査も行います。また、リスク分析用のチェックシート、プログラムを作る際にソースの脆弱性をチェックする診断ツールの適用といった対応により、方針やルールの遵守を徹底させ、各開発現場におけるセキュリティ対策への取組みを支援しています。
併せて同組織では、お客さまの現場に導入済みの商品における不正アクセスや機密情報の流出といったセキュリティインシデントの相談受付と対応支援、商品に組み込まれたサードパーティ*2製コンポーネントなども含めた脆弱性情報の収集も継続的に実施。そのほか、修正プログラムの商品への適用など必要な措置を事業部門に指示するという役割も担っています。
azbilグループで扱っている商品は多品種にわたることから、現在、商品サイバーセキュリティ審査室ではインターネットに接続する高リスクな商品を優先的に審査し、活動を進めています。建物分野のお客さまに提供されている「ビル向けクラウドサービス」、手書きの業務記録をその場でデジタル化する「現場でつくる作業記録サービス」、プラントや工場で稼働するコントロールバルブの稼働データを収集・解析・診断し、その結果をクラウド上のWebコンテンツで提供するDx*3 Valve Cloud Serviceなどもこうした支援や審査を経てリリースされた商品の一つです。また、アズビル金門株式会社が提供する、ガスメーターの情報をリモートで収集してクラウドサービスで提供するガスミエール™をはじめ、azbilグループの既存の商品やサービスについてもあらためてセキュリティ面から見直すなど、セキュリティ対策のさらなる強化に向けた施策も積極的に実施。さらには、azbilグループの海外現地法人に対してもサイバーセキュリティ対策を審査・支援するという活動を展開していこうとしています。
そしてこれらの情報共有の場として、各事業の商品開発関連部門のサイバーセキュリティ責任者、そしてアズビル金門のメンバーを加えた商品サイバーセキュリティ強化会議を2カ月に1度開催し、活動 内容の共有、協力体制を構築しています。
サイバーセキュリティに関連する開発プロセスを示した商品のライフサイクル
セキュリティ人材の育成も組織が担う重要なミッション
以上のような活動に加えて、商品サイバーセキュリティ審査室では、社員全員のサイバーセキュリティに関する知識レベルの向上を目指して啓発活動にも注力。クラウドサービスの運用を管理する専門組織であるクラウド運用センターと協働で行うクラウド教育の中で、サイバーセキュリティについても講義を行います。さらに、セキュリティ人材の育成に向けた取組みの推進として、メンバーを独立行政法人情報処理推進機構(IPA) 産業サイバーセキュリティセンターが実施している中核人材育成プログラムに1年間参加させて、セキュリティ専門組織としてメンバーのスキル強化を図っています。全社を対象にIPAが実施する情報セキュリティマネジメント試験の受験や、国家資格である情報処理安全確保支援士の増員に向けた施策も人事部と連携し積極的に推進しています。
セキュリティはすべての人がルールを守り、行動に配慮するなどの責任を果たすことで守られるものです。サイバーセキュリティ対策の重要性がますます高まる中、アズビルではお客さまが商品をご利用いただく際の安全・安心を高いレベルで確保できるよう、今後も継続的に取組みを強化してまいります。
*1:Industry 4.0
第4次産業革命といわれ、製造業のオートメーション化、デジタル化、コンピュータ化を目指す技術的なコンセプト。IoT、クラウドコンピューティングなどが含まれる。
*2:サードパーティ
自社ではない第三者の企業。他社のシステムに対応するソフトウェアや周辺機器を提供している企業。
*3:Dx
「Dx」とは診断を意味する医療分野で、「Diagnosis(診断)」の略称。バルブの健康状態を把握し、お客さまにバルブを常に安全にお使いいただくことをこの言葉に込めています。
※ガスミエールは、アズビル金門株式会社の商標です。
この記事は2022年01月に掲載されたものです。