工場（OT）におけるセキュリティガバナンス ― 現場の実力を重視したセキュリティ管理態勢の構築

2．OTセキュリティガバナンスの重要論点

一般に、ガバナンスは、方針・ルール、制度・仕組み、組織・人の3つの手法によって達成されます。OTセキュリティガバナンスにおいても、適切なセキュリティ管理のためにそれらの手法を採用する必要がありますが、その設計や実装においては、OTセキュリティの性質に十分配慮する必要があります。

（ア）制度に軸足を置いたガバナンス構築を

企業におけるOTセキュリティガバナンスは、難しい状況に置かれています。OT環境はあらゆる事業と拠点に存在しますが、企業としては全体で1つのガバナンスによって遍く統制する必要があります。そのため、全体として設定した標準的なルールに基づき、各事業部門や各拠点の自発的努力によって、ルール遵守の達成に向けて運用ルールや手順、管理の仕組みの開発を期待したいところです。

一方で、前述の通り、OTシステムには製品や業務ごとにニッチなシステムが多数存在します。こうしたOTセキュリティというテーマの特殊性・新規性に鑑みると、各事業や拠点が自力でOTセキュリティの目的や適切な手法を正しく理解して、全体で定められたルール通りにセキュリティ管理を実現・実施することが困難であることは想像に難くありません。

こうした状況である以上、OTセキュリティガバナンスにおいては、ルールではなく制度・仕組みに軸足を置くべきと考えます。もちろん全体で標準化されたルールは必要です。ただし、OTセキュリティガバナンスを主導するOTセキュリティの統括組織は、ルールを設定し遵守を促すだけの一方的で形式的なガバナンスの構築ではなく、それを具体的な制度・仕組みに落とし込み、現場の制度・仕組みの実態に鑑みて全体の方針・ルールが対話的に協調する現実的なガバナンスの構築を目指すことが肝要です。

（イ）拠点のケイパビリティを重視する

デジタル化やオープン化の進展と共にOT環境の標準化が進んではいるものの、依然として事業や拠点ごとに、固有プロトコルや尊重すべき固有の事情を抱えた環境が多く存在しています。こうした背景を踏まえると、企業におけるOTセキュリティガバナンスのあり方としては、全体で共通のポリシーに基づきながらも、拠点ごとの事情を適切に勘案してセキュリティ管理態勢に落とし込み、実践する姿が望まれます。そのためには、OTセキュリティガバナンスの中核を担うOTセキュリティの統括組織の設計においては、事業部門および拠点が自発的に活動できるように権限を与え、かつ、権限を適切に執行できるだけのケイパビリティを備えさせることが重要です。具体的には、全体の統制を担う中央の要員よりも、拠点のOT環境に精通し、拠点内での管理・運用を担う要員の割合を多くするなどによって、現場におけるセキュリティ管理の実効性を担保することが必要です。また、方針や基準を明確にすることで各拠点が一定の統制の中で裁量を発揮しやすくする、手厚い教育を提供することで立ち上がりを支援するといった方策も有効です。

（ウ）成熟度に応じたガバナンスモデルの採用を

セキュリティガバナンスの建て付けから成熟に至る過程を既に経験された企業のセキュリティ担当者は、成熟したセキュリティガバナンスのモデルをOTセキュリティにも適用しようとされるかもしれません。しかし、そうした成熟したモデルは、想定通りに機能しないことが予想されます。セキュリティガバナンスは要員のセキュリティの理解度やセキュリティ管理のための仕組みの整備状況、システム化の程度、守るべき環境の多様性などによる影響を強く受けます。OTセキュリティにおいては、セキュリティの目的や必要性を理解する従業員や技術的な対策が施された環境は少なく、ITセキュリティのように従業員が基礎知識を有しており、さまざまなセキュリティ管理を目的とした制度や仕組みが日常の業務や技術的な対策として埋め込まれている状況とは大きく異なるためです。ガバナンスのあり方に影響する現実のさまざまな要因が未成熟な状態にも関わらず、ガバナンスの設計だけ成熟したものを取って付けると、上手く噛み合わず、機能しないのです。

OTセキュリティガバナンスの整備においては、各々の実情に沿って、その時点で適切なガバナンスのあり方を模索すべきです。通常、ガバナンスの成熟には長期間を要します。例えば、OTセキュリティに取り組み始める時点では、最低限のルールを標準化し全体管理の仕組みと体制を立ち上げ、活動の中で従業員のセキュリティ意識や知識水準の向上や制度・仕組みの拡充・深化を図り、組織のOTセキュリティ管理の成熟に応じてガバナンスのあり方を見直す、というアプローチを取ることで、OTセキュリティガバナンスのあり方を継続的に最適な状態に保つことができます。