Article Posted date 03 August 2021

今なぜ工場セキュリティを考えるべきなのか。
第2回では事業継続性、第3回ではレピュテーションにフォーカスし、サイバー攻撃の影響を説明しました。今回は、このテーマのまとめ(最終回)です。設備投資の意思決定と違い、今一つ積極的な投資に踏み切れないのがOTのセキュリティ対策。今後、経営サイドとして、どのようにセキュリティ対策を推進していくべきか。求められるリーダーシップについて解説します。

経営リスク-4-図1

セキュリティ対策の現状は

すでに十分な予算を確保してOTのセキュリティ対策を実施している。そうした企業は多くはないかと思います。なぜなら、セキュリティ対策の投資を難しくする要因がそこにあるからです。
「必要な対策はリスクから導かれる」という、セキュリティ対策の原理原則を、本連載の第2回で紹介しましたが、実はこの根源となるリスクの大きさ(リスク値)、その評価に難しさがあるのです。
一般的に、セキュリティにおけるリスク値は、

リスク値 = 脅威のレベル × 脆弱性のレベル × 結果の重大性

といった計算式で求められます。
脅威とは、想定したリスクを顕在化させるもの、例えば、不正アクセスや機能停止などです。また、レベルとは、発生頻度のような確率的な指標になります。
仮に3段階(1・ 2・ 3)で示すなら、

  1. 発生する可能性が低い
  2. 発生する可能性が中程度
  3. 発生する可能性が高い

といったイメージです。
発生頻度は、一般的に(サイコロを振るような)ランダム性が含まれるため、起こる/起こらないの因果関係や法則的なものが掴めず、評価が難しくなります。
また、結果の重大性とは、想定したリスクが顕在化した際の事業被害の大きさです。
仮に3段階で示すなら、

  1. 事業上の被害が小さい
  2. 事業上の被害が中程度
  3. 事業上の被害が大きい

といったイメージです。
事業被害は、一般的に(影響が次々にループして増幅するような)フィードバックの特性を持つため、どこまで被害の拡大を見込めばいいのか、想定が難しくなります。
こうなると、リスク値の計算結果は、適切な基準が設定されていなかったり、評価者の心理的バイアスがかかったりして、過大に(もしくは過小に)算出されてしまう可能性があります。それを踏まえた対策の実施の必要性に、疑義が生じることもあるかもしれません。

経営リスク-4-図2

対策はボトムアップでは進まない

ここでは、工場の一般的な設備投資と、セキュリティ対策を行うための投資(セキュリティ投資)を比べてみます。
設備投資をする/しないの意思決定では、DCF法(Discounted Cash Flow Method)を用いることが多くなっています。投資によって得られるキャッシュフローを予測し、現在価値へ割り引いて正味現在価値(NPV)や内部収益率(IRR)により評価する。投資しただけのリターンがあるのかどうか、その判断は明確です。
では、セキュリティ投資はどうでしょう? セキュリティ対策の実施で得られる直接的なキャッシュフローは、正直わかりません。ただ、対策によりどの程度の被害が抑えられるのか、リスクが顕在化した際の被害想定額なら計算できそうです。しかしながら、(先ほど説明したとおり)そもそも元となるリスクの大きさが当てにならないなら、求めた金額は鉛筆をなめたのと同じです。
このような、投資効果がはっきりとしないセキュリティ対策の施策を、ボトムアップで稟議が通せるでしょうか? 設備投資のイメージを持つ工場幹部にとって、それは回収不能なサンクコスト(埋没コスト)にしか見えないはずです。

経営リスク-4-図3

今こそ必要なトップの推進力

起こるかどうかはっきりしない、でも万が一起こったらその影響は計り知れない。そういったリスクに対処するには、強いトップダウン体制が必要です。不確実性の高いリスクへの対処は、まさに経営判断による意志決定の領域だからです。ISO/IEC 27001やIEC 62443-2-1といったセキュリティマネジメントシステムの国際規格が、トップマネジメントに対して強い関与を求めるのはこのためです。
経営幹部によるトップダウン体制で、OTセキュリティに関する予算化や、必要な人員の確保などを推進し、対策の投資判断は通常とは違った承認ルートでの決裁が求められます。
OTのセキュリティリスクは、「リスクをとらないリスク」、「何かをしないことによって生じる危険性」といったことを念頭に置き、今こそトップダウンによる大胆な推進が必要なのです。

経営リスク-4-図4

さいごに

「経営リスクで考える工場セキュリティの重要性」をテーマに、計4回にわたって解説しました。
ITと比べて手薄になりがちなOTのセキュリティ対策。サイバー攻撃による影響は、セキュリティ環境の変化によるリスク増大はもちろん、事業継続やレピュテーションといった大きな経営リスクにつながります。
今からでも遅くありません。企業におけるリスクマネジメントの一環として、OTのセキュリティ対策を重視していただければ幸いです。

執筆者

KPMGコンサルティング
顧問 福田 敏博 ※掲載当時

経営リスクで考える工場セキュリティ対策の重要性

    関連リンク

    工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。

     

    お問合せ

    ネットワークに結ばれた地球

    サイバーセキュリティ

    サイバーセキュリティ

    多様化するサイバー攻撃に対し、防御から復旧までサイバーセキュリティ対策をトータルに支援し、内部と外部双方の脅威に備えます。
    ロボットアーム操作

    制御システム/IoTセキュリティ

    制御システム/IoTセキュリティ

    スマート化する産業用制御システム、IoTサービスのシステムに求められるサイバーセキュリティ対策を支援します。