ステークホルダーの信頼獲得のため
情報セキュリティ推進室を開設
自動車産業のサプライチェーンを狙ったサイバー攻撃は近年、増加の一途をたどっている。とくに、自動車メーカー本体に比べてセキュリティ管理体制が脆弱だと思われているサプライヤーを狙った攻撃が増えているようだ。22年3月には、サプライヤーを狙ったランサムウェア攻撃によって、自動車メーカーの生産活動全体がストップするという事件も発生している。
「今日のように自動車メーカーとサプライヤーが1つのサプライチェーンとして密接に関わり合う状況の中では、すべてのサプライヤーや自動車メーカーと情報共有しながら、製品設計や生産活動を行っていかなければなりません。どこか1つのサプライヤーがセキュリティ管理に脆弱さを抱えていると、そこに付け入られて攻撃を受け、サプライチェーン全体に影響が及んでしまう危険があります。堅牢なセキュリティ管理体制を構築しなければならないのは、サプライヤーとして当然の使命だと言えます」(加澤氏)
そうした時代のニーズを踏まえ、日本精工は15年に情報セキュリティ推進室を開設した。サプライチェーンの担い手の一つとして、社内における「サイバーセキュリティ脅威への対応」「情報資産の適切な管理」を行い、それによって「顧客や社会、国内外の関係組織からの信頼を獲得」することをミッションとする部署だ。
「お客様をはじめとするあらゆるステークホルダーから信頼を獲得することは、ビジネス上の競争優位につながります。結果的に日本精工グループとしての収益力の維持・向上にも寄与するわけです」と加澤氏は説明する。
加澤氏がグループマネジャーを務める情報セキュリティ推進室は、サイバーセキュリティ脅威に対応するための仕組みやルール、体制づくりなどを行ってきた。同社が取引する自動車や産業機械のメーカーは世界中に存在する。国内のみならず、海外拠点を含めたグローバルなセキュリティ運用体制を確立したのは言うまでもない。
それと同時に、情報セキュリティ推進室は、海外の自動車業界団体や個別の自動車メーカーが制定するセキュリティ運用の認証制度やガイドラインへの対応にも関わっている。
「国内メーカー、海外メーカーを問わず、個別の自動車メーカーがセキュリティ運用に関する独自のガイドラインを設ける動きも広がっており、それらにしっかり対応していくことも、ビジネス上の競争優位を維持するために欠かせない取り組みとなっています」と加澤氏は語る。
業界やメーカーの要求に応えるため
ServiceNowのSecOpsを導入
こうした認証の取得やガイドラインに対応するため、情報セキュリティ推進室は、自動車事業部門、IT部門、コーポレート部門などと連携しながら、団体やメーカーの要求に応えるセキュリティ運用体制づくりを行っている。
顧客からの要求に応え、しっかりと説明するためには、仕組みやルールを作るだけでなく、エビデンスとして提示できる環境も整えなければならない。それを示せる機能を備えたソリューションとして、日本精工はServiceNowのSecurity Operations(以下、SecOps)を導入した。
ServiceNowのSecOpsは、限られた人員でも、社内全体のシステムに潜む膨大な脆弱性(攻撃にさらされやすいポイント)や、年々増え続けるインシデント(実際の攻撃とその予兆)を効率よく探り出し、効果的に対処できるようにするためのソリューションだ。セキュリティ運用のオペレーションを合理化しつつ、サイバー攻撃によるビジネスへの致命的なダメージを回避することができる。
またSecOpsには、実際にどのような脆弱性やインシデントを検知し、それにどう対処したのかという行動履歴がナレッジとして蓄積される機能もある。同社は、この行動履歴をエビデンスとして提示すれば、顧客にしっかりとした説明ができると判断した。また、仮に認証取得のような要求があったとしても、特段の追加の運用なく、要求を満たすことが可能だと判断したのである。
加澤氏は、「セキュリティ運用を合理化するためのソリューションは他にもいくつかありましたが、ITサービス運用とセキュリティ運用の両方でグローバル標準なソリューションであることを評価して、SecOpsを選びました」と語る。
グローバルに利用されているソリューションであれば、今後、新たな認証制度を設けられたとしても、柔軟に適用できる可能性が高い。また、日本精工グループ全体のセキュリティ運用を合理化するためには、国内だけでなく、海外拠点でも受け入れられやすいソリューションを導入するのが望ましいと判断した。
