法人のお客さま
お問い合わせ
ビジネスブログ

直近事故から考える
企業が導入すべきDX時代のセキュリティ対策
- SoftBank World 2022 セッション特集- 

竹之内 彩歌

ソフトバンクビジネスブログ編集チーム
竹之内 彩歌

2022年8月12日掲載

製造業DXを行う際に忘れてはいけないOTセキュリティ

セキュリティインシデントの報道をよく耳にします。自社のセキュリティ対策に悩まれている企業も多いのではないでしょうか。

2022年7月29日に開催された「SoftBank World 2022」Day2では、法人向けセキュリティサービスを担当しているソフトバンク株式会社の中野博徳氏が登壇し、DXが進む中で企業が導入すべきセキュリティ対策について解説しました。

目次

ソフトバンク 中野博徳氏

企業におけるDXの重要性

「まさにDXは企業の競争力強化において必須の取り組みである」と語るのは本講演の登壇者 中野氏。全ての業界においてさまざまな企業がDXに取り組んでいます。経済産業省のDXレポートでは、DXに取り組まないと企業の競争力が落ちるため、DXは企業の存続において重要な要因であると記しています。DX化が企業にとって、どれだけ重要な取り組みであるかが伺えます。

DXを進める上でセキュリティ対策は必須

DXの取り組みとして、デジタルオートメーションとデジタルマーケティングを例に上げてみます。

デジタルオートメーションは、工場のスマートファクトリー化により、労働力不足を改善し、生産コストを下げる業務プロセスを実現しています。しかし、ITとOTの統合により、OTがサイバー攻撃を受ける可能性があります。しっかりと生産停止リスクから守ることが重要です。

また、デジタルマーケティングでは、アナログデータだけでなく、「デジタルデータを使った在庫管理」や「デジタル広告を出し来店を促す」という取り組みを行っています。しかし、デジタルデータの活用は個人情報流出のリスクが高まります。

中野氏は「DXが進むということは、セキュリティも合わせて考えていかなければならない」と述べています。

セキュリティ対策は現場任せにしてはいけない

デジタル化が進む中で、行政ではさまざまな法律の改正がありました。22年4月には「個人情報保護法」が改正され、個人情報が流出したときは報告義務および本人に対する通知義務が新設され、事業者への責務が追加されました。

また、「重要インフラ事業者向けセキュリティ」では、セキュリティ対策において適切な運用がされていない場合、経営層は損害賠償責任が問われると22年6月に改定されました。「セキュリティ対策は現場任せにせず、組織全体で行うことが重要だ」と中野氏は語ります。

実際にあった事故事例と対策

実際に起こった事例を元に、セキュリティインシデントが起こった原因と、その対策について中野氏が解説しました。

①クラウド事業者事故事例

クラウドインフラの前面にあるロードバランサを通過する情報が漏れており、脆弱性を突いた攻撃を受けました。対策としては、脆弱性の管理としてしっかりとパッチをあてていくことや、アクセス制御を実施しました。

②ゲームメーカー事故事例

コロナ禍でリモートワーク実現のためのVPN機器を脆弱性を放置したまま運用しており、ランサムウェア攻撃を受けました。これに対して、VPN機器の脆弱性管理や侵入されることを想定したEDR対策を実施しました。

③地方自治体事故事例

内部職員による個人情報の不正持ち出しが発生。内部調査を実施し対象者を免職処分しました。

侵入経路別セキュリティ対策

このようにセキュリティ事故の侵入経路は

  1. 外部ネットワークに外部の侵入社が不正アクセスする場合
  2. 内部ネットワークに外部の侵入者が不正アクセスする場合
  3. 内部ネットワークで内部の侵入者が不正を行う場合

3パターンにわけられます。この3つに対して具体的にどのような対策が必要でしょうか。

外部ネットワークからの攻撃への対策

①外部のネットワークから攻撃を受けるときの対策

アプリケーションの脆弱性を狙った攻撃にはWAFを使った対策が有効です。OSの脆弱性を管理して、どこから優先的にパッチをあてていくか優先順位をつけましょう。また、クラウドの設定ミスをして情報がインターネット上で見えてしまうというケースが多くあります。クラウドのインフラ対策としては、CSPM(Cloud Security Posture Management)で守っていくことが重要です。

内部ネットワークからの攻撃への対策(外部侵入者)

②内部ネットワークからの侵入

インターネットで公開しているページからの不正ログインを防ぐには、多要素認証が有効です。また、自社のネットワークに侵入されたあとでも、目的地に到達するまでには距離があるため、ラテラルムーブメントをされないようにEDRで守っていきましょう。また、目的地であるシステムの脆弱性管理や工場のネットワークを見るためのOTに特化したソリューションを置くことも重要です。

内部ネットワークからの攻撃への対策(内部侵入者)

③内部ネットワークで内部の侵入者が不正を行う場合(内部不正)

内部関係者による不正を防ぐには、従業員の端末で行われている操作を録画しログ収集したり、アクセス制御を行うことが重要です。

セキュリティ運用監視が重要

このように必要な対策はさまざまあります。中野氏は「不測の事態に備えて、日々セキュリティを監視し、ログを分析していくことが大切だ」と述べています。

セキュリティ強化ソリューション導入事例3選

講演の最後に中野氏は、セキュリティ対策ソリューションを実際に導入した企業の事例を3つ紹介しました。

■保険業

「保険業特有のFISCガイドラインに沿っているかを四半期ごとに手動で監査していた」という課題がありました。この課題に対し、「CloudGuard Posture Managementを導入し、確認すべき項目を自動化」することで、正確性の向上・工数削減に成功しました。

■運輸業

「セキュリティ対策不足によりインシデントが発生」してしまいました。セキュリティ強化の対策として、「Cybereason EDRでマルウェア対策、Rapid7で脆弱性管理、さらにMSSで各ソリューション全体を管理」することで、再びインシデントが発生しないよう備えました。

■製造業

「社員による製品機密の持ち出しリスク」という内部不正の課題がありました。対策として、「Proofpoint ITMで社員の端末操作を可視化し、怪しい操作を感知するとリアルタイムでアラート・ログ再生を可能にする」ことで、内部不正を抑制しました。

 

本講演では、企業がDXを進める中でどのようなセキュリティ対策が必要なのかを解説しました。本講演はオンデマンドで配信しています。事故事例や導入事例の流れをより詳しく解説しています。ぜひご視聴ください。

ソフトバンクでは、さまざまなソリューションをご用意しております。
セキュリティ対策にお困り事がありましたら、ぜひご相談ください。

SoftBank World 2022
オンデマンド配信は終了いたしました

資料:脅威から企業を守るゼロトラスト

企業が把握するべきセキュリティ脅威の手口と対策手法

「情報セキュリティ10大脅威 2022」の上位にランクインしたセキュリティ脅威の「特徴」・「攻撃の手口」・「被害例」を解説。企業がどのように立ち向かっていくべきか、セキュリティ戦略のヒントをお届けします。

資料ダウンロードする

 \ 業務課題をデジタルで支援 /

デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。

中小規模のお客さま向けサイトをみる

メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。

おすすめの記事

条件に該当するページがございません

法人のお客さま向け イベント

イベント・セミナー

ビジネスに役立つ 資料ダウンロード

資料ダウンロード

「今」と「未来」を発信 ソフトバンクのビジネスブログ

ビジネスブログ

クラウドテクノロジーブログ

クラウドテクノロジーブログ