佐々木弘志氏
マカフィー(株)
サイバー戦略室
シニア・セキュリティ・アドバイザー
(講演者のプロフィールは、各イベントサイトからご確認ください)
Interop Tokyo カンファレンス 2021
- 国内講演者
- 民間企業
- ディスカッション
- その他職名
佐々木弘志 氏
マカフィー(株)
サイバー戦略室
シニア・セキュリティ・アドバイザー
DXのセキュリティ:部門の壁を破る組織態勢の在り方
長期化するコロナ禍の中で、DX推進のうごきは「各企業の生き残りをかけた必須のビジネス活動」として位置づけられています。リモートワークの推進のみならず、工場・プラントの自動化・リモート管理の推進、製品・サービスのIoT化・他業種との協業サービスなど、企業のさまざまなビジネス活動がサイバー空間に拡張されることにより、セキュリティを管理すべき対象が、従来の「情報システム」だけではなく、「工場・プラント」「製品・サービス」「サプライチェーン」といった領域に拡大しています。
こうした拡大したビジネス領域において、「組織態勢のガバナンスが十分でない」ことに起因するセキュリティリスクが増大しています。たとえば、「電子マネーサービスにおける二要素認証対応などの対策不備によるセキュリティ被害」がその一例です。また従来の情報セキュリティ部門を中心とした「社内情報システムのみを管理対象とする態勢」では、各事業部門がDXを進める工場・プラント、新製品・サービスのセキュリティ対策に十分なガバナンスが効かず、初歩的とも思える対策不備が露呈するケースが発生しています。
本セッションでは、「DXの推進により拡大した領域のセキュリティインシデントの現状認識」を共有し、スピーカーの企業で行われている実際の取り組みを紹介したあとで、「リスクを減らすための企業の組織態勢やガバナンスの在り方」「経営層をどのように巻き込めば良いか」といった課題について、パネルディスカッションにて議論し、同様の課題を持つ聴講者の具体的なアクションのヒントとなることを目的とします。
Interop Tokyo カンファレンス 2021
- 国内講演者
- 民間企業
- ディスカッション
- その他職名
佐々木弘志 氏
マカフィー(株)
サイバー戦略室
シニア・セキュリティ・アドバイザー
工場(FA)セキュリティガイドライン ~つながる工場のセキュリティ対策のニューノーマル~
FA (Factory Automation)とは、生産工程の自動化を図るシステムの総称であり、日本のモノづくりを支える根幹の技術です。近年のFAシステムは、クラウドなどの外部システムと接続することで、「AIを活用した歩留まり向上」や「IoT技術を用いた予知保全」などの新しい価値を生み出しています。
しかし、可用性を重視する工場においては、古いシステムが刷新されずに残っているため、外部と接続することで生じるセキュリティリスクが通常の情報システムよりも高く、一部の企業ではDX推進の阻害要因となっています。さらに、「IT部門との責任分界点がはっきりしない」「FAセキュリティの責任組織が存在しない」「FAシステム構成はベンダー任せで、社内の誰も把握していない」「FA現場担当者にセキュリティ事故発生の認識がない」など、セキュリティの課題が山積みのFAシステムが、外部と安易に接続することは、大きなセキュリティリスクを生む危険性を孕んでいます。
本セッションでは、このようなFAのビジネス環境の変化をチェアより解説したあと、FAシステム・機器ベンダーが中心となって策定した『FAシステムセキュリティガイドライン』について、ガイドラインの策定メンバーより、その背景と内容を紹介します。パネルディスカッションでは、「FAセキュリティを進める上での理想と現実のギャップ」および「今後のFAシステムのDXの実現によって、新しい常識となると考えられる“セキュリティ対策のニューノーマル”とは何か」について議論します。
Interop Tokyo カンファレンス 2021
- 国内講演者
- 民間企業
- その他職名
佐々木弘志 氏
マカフィー(株)
サイバー戦略室
シニア・セキュリティ・アドバイザー
産業サイバーセキュリティリスクの実態とその政策 ~経済産業省 奥家サイバーセキュリティ課長に聞く~
新型コロナウイルス感染拡大の影響を受け、テレワークの急な推進などのビジネス環境の未曽有の変化が起こるのと同時に、サイバー攻撃の被害に遭う日本企業が増えています。とくに、「端末に感染してデータを暗号化し、身代金を要求する」従来のランサムウェアを用いた攻撃だけでなく、そのデータを窃取して「身代金を払わなければ公開する」といって脅す「二重脅迫」と呼ばれる攻撃も登場しており、いままさにDXを進めようとする日本企業にとっては無視できないリスクとなってきています。
このような状況を受けて、経済産業省のサイバーセキュリティ課では、『最近のサイバー攻撃の状況を踏まえた経営者への注意喚起』※を産業界に対して発出しました(2020年12月)。これは、日本企業の経営層に対して、サイバーセキュリティリスクを経営リスクとして捉えて、一層のリーダーシップを発揮するよう求めるものです。
本セッションでは、2017年に現課長に着任以来、『産業サイバーセキュリティ研究会』の立ち上げを始めとして、『サイバー・フィジカルセキュリティ対策フレームワーク:CPSF』――Society 5.0の実現に向けたバリューチェーン全体に対するセキュリティフレームワーク――の策定など、近年の日本における対応を牽引してきた奥家課長から、「産業サイバーセキュリティリスクの実態とその政策」について説明します。ついで、とくに訴えたい政策のポイントについて、「どのような背景や意図をもって進めているのか」を中心に、当カンファレンスの委員長である江崎 浩教授を聞き手としてディスカッションを行います。
※:https://www.meti.go.jp/press/2020/12/20201218008/20201218008-2.pdf
<要旨>
1)産業サイバーセキュリティ脅威の実態
2)産業サイバーセキュリティ政策について
3)産業界に対するメッセージ
Interop Tokyo カンファレンス 2021
- 国内講演者
- 民間企業
- その他職名
佐々木弘志 氏
マカフィー(株)
サイバー戦略室
シニア・セキュリティ・アドバイザー
DXを支えるセキュリティ ~『産業サイバーセキュリティセンター』第4期生の成果から~
コロナ禍において、企業におけるDXの取り組みが加速する中、「DXを支えるセキュリティ対策」が大きな課題となっています。たとえば、「セキュアなリモートワーク環境の実現」「IoTデバイスの安全なビジネス活用」「DX推進により必要となる担当者のセキュリティ教育・訓練」など、その課題は企業のビジネス活動の全方位へと広がりを見せています。
本セッションでは、『産業サイバーセキュリティセンター』(ICSCoE)(※)の今期第4期生による卒業プロジェクトの中から、スピーカー陣の所属企業・業界における旬なDXセキュリティの課題について、「ゼロトラスト」「ドローン」「現場向け制御系セキュリティ教育」をそれぞれテーマとして発表します。またそれをもとに、ICSCoEの講師陣や本セッションへの参加者の皆様も含めて意見を交換し、その結果を、各企業の「DXを支えるセキュリティ対策」の参考としていただくことを目的とします。あわせて、『中核人材育成プログラム』の実際の内容やその有効性を垣間見ることもできます。
※)ICSCoEは、経済産業省が主導して、『独立行政法人 情報処理推進機構』(IPA)のもとに設立されました(2017年4月)。サイバーセキュリティ対策の「重要インフラ(電力など)における強化」や「重要産業分野におけるサプライチェーン全体での実現」が社会的な課題となる中、「これらの課題解決を行う中核人材が、企業内に不足している」という危機感が契機となっています。おもな活動として、社会インフラ・産業基盤でのサイバーセキュリティリスクに立ち向かっていくための、1年間の『中核人材育成プログラム』を提供しています。第4期プログラムでは、重要インフラ関連企業などから将来の中核人材候補46名が受講生として学んでいます。
TOSHIBA OPEN SESSIONS 2022
- 国内講演者
- 民間企業
- ディスカッション
- 管理職
佐々木弘志 氏
フォーティネットジャパン合同会社
OTビジネス開発部 部長
製造業を守る!今求められるサプライチェーンセキュリティ ~繋がる工場のサイバーレジリエンスを高める段階的アプローチ~
昨今、日本の製造業を狙ったサイバー攻撃が増え、国内外において各業界へのセキュリティ規制が加速しています。本セミナーでは、繋がる工場のサイバーレジリエンスを高めるために必要となるセキュリティ対策とは何か、またどのようなアプローチで取り組むべきか、ご紹介します。
Interop Tokyo カンファレンス 2022
- 国内講演者
- 民間企業
- ディスカッション
- 管理職
佐々木弘志 氏
フォーティネットジャパン(同)
OTビジネス開発部
部長
「見えない化」する脅威、どう戦う? 2022
近年、大手クラウドベンダ主導でネットワークプロトコルのセキュア化が目覚ましい勢いで進行しており、その副作用として、脅威の「見えない化」も進行しています。本セッションでは、「見えない化する脅威に対し、セキュリティアーキテクチャ、ネットワークアーキテクチャ、および製品・サービスの変革の組み合わせでどのように戦っていくのか」 という問いを設定し、現時点での最新状況と、第一線のエキスパートによるそれぞれの持ち場からの戦況報告を持ち寄り、縦横無尽にディスカッションを繰り広げます。
ネットワークプロトコルのセキュア化としては、「DOH (DNS over HTTPS)」「DOT (DNS over TLS)」「TLS 1.3 」を取り扱い、これらがインシデントや兆候の可視性にどのような影響を与えたのかを解説します。また、現時点で試みられているセキュリティアーキテクチャとしてゼロトラスト・アーキテクチャをとりあげ、これを適用した効果や限界などについても議論します。さらにネットワークアーキテクチャによる変革として、マイクロセグメンテーション等の使いどころについても紹介します。
Interop Tokyo カンファレンス 2022
- 国内講演者
- 民間企業
- ディスカッション
- 管理職
佐々木弘志 氏
フォーティネットジャパン(同)
OTビジネス開発部
部長
DXを支えるセキュリティ2022 ~『産業サイバーセキュリティセンター』第5期生の成果から~
長期化するコロナ禍において、企業のDXへの取り組みが加速する中、サイバーセキュリティの重要性は企業の社内外を問わず、ビジネスの全方位へ広がりを見せています。しかし、急激に広がった管理領域のため、十分にセキュリティ対策が標準化されておらず、「対策する担当者がいない」「どう進めていいかがわからない」「そもそも課題として認識されていない」など、リスクが積み上がっている状況です。
本セッションでは、『産業サイバーセキュリティセンター』(ICSCoE)(※)の今期第5期生による卒業プロジェクトの中から、スピーカー陣の所属企業・業界におけるセキュリティの最先端の課題について、「制御システムでのクラウド活用」「セキュリティ関連費用の可視化」「新興国拠点へのセキュリティ強化」をそれぞれテーマとして発表します。またそれらをもとに、ICSCoEの講師陣や本セッションへの参加者の皆様も含めて意見を交換し、その結果を、各企業の「セキュリティ対策」の参考としていただくことを目的とします。あわせて、『中核人材育成プログラム』の実際の内容やその有効性を垣間見ることもできます。
(※) ICSCoEは、経済産業省が主導して、『独立行政法人 情報処理推進機構』(IPA)のもとに設立されました(2017年4月)。サイバーセキュリティ対策の「重要インフラ(電力など)における強化」や「重要産業分野におけるサプライチェーン全体での実現」が社会的な課題となる中、「これらの課題解決を行う中核人材が、企業内に不足している」という危機感が契機となっています。おもな活動として、社会インフラ・産業基盤でのサイバーセキュリティリスクに立ち向かっていくための、1年間の『中核人材育成プログラム』を提供しています。第5期プログラムでは、重要インフラ関連企業などからの将来の中核人材候補48名が受講生として学んでいます。
Interop Tokyo カンファレンス 2022
- 国内講演者
- 民間企業
- ディスカッション
- 管理職
佐々木弘志 氏
フォーティネットジャパン(同)
OTビジネス開発部
部長
Beyond 5G:宇宙へ飛び出すインターネット
宇宙産業は、多額のコストがかかることから、これまでは政府と一部の事業者によって国策として進められてきました。しかし近年では、民間への開放・技術革新・ベンチャーの参入などに伴い、大きな変革期を迎えています。
実際、世界の宇宙ビジネス全体の市場は、2020年の40兆円規模から、2040年には約3倍の115兆円規模に成長するとの予測もあり(Morgan Stanley)、新たな産業分野として、さまざまなプレイヤーの参入により活況を呈しています。ネットワークの領域においても、通信サービスや地球観測サービスの提供がいままさに広がりつつあります。さらに今後のBeyond 5Gにむけては、“宇宙ネットワーク(衛星通信)ありき”での検討が進んでおり、エリアカバレッジの補完や地上設備のバックアップはもとより、ユースケースの創造などの役割が期待されています。宇宙は、インターネットにとっての新大陸とも呼べるでしょう。
本セッションではまず、経済産業省から「現在の宇宙産業の世界と日本の状況および政策」について概観します。ついで具体的なソリューションの例として、通信事業者から「非地上系ネットワーク(NTN:Non-Terrestrial Network)構想」の概要とグローバル展開について、衛星事業者から「小型人工衛星」に関する現在の取組と将来像について、それぞれ説明します。そのうえで、「なぜ今、宇宙産業が盛り上がっているのか」「これから世界と競っていく上での課題は何か」について、官民それぞれの視点でパネルディスカッションを行います。
Interop Tokyo カンファレンス 2022
- 国内講演者
- 民間企業
- ディスカッション
- 管理職
佐々木弘志 氏
フォーティネットジャパン(同)
OTビジネス開発部
部長
産業サイバーセキュリティ:製造業における被害の実態と対策
長期化するコロナ禍によるサプライチェーンの不安定化、ロシアのウクライナ侵攻など、製造業にとっては先行き不透明なビジネス環境が続いています。こうした急激な環境変化に追従できる、柔軟な体制・システムの確立に有用なDXの推進は、企業の死活問題となっています。
そのため製造業においては、リモートワークの推進などの理由でゼロトラスト化が進む「情報システム」のみならず、工場・プラントの「制御システム」や、「製品・サービス」のデジタル化も進んできました。しかしその結果、増大したセキュリティリスクによって、多くの企業がサイバー攻撃の被害に遭っているのが実情です。
本セッションでは、経済産業省の『工場セキュリティガイドライン』(2022年春公開)策定ワーキンググループの座長であり、Interop Tokyoプログラム委員会の議長でもある江崎 浩教授のチェアの下、多くの製造業を顧客としてもつサイバーセキュリティ専門家2名により、「近年、製造業で発生しているサイバー攻撃被害の実態」「企業が直面するセキュリティ課題」「実際の被害を減らすためにはどうすべきか」をテーマに、講演とパネルディスカッションを行います。
【テクカン2022】近未来のデジタル・インフラストラクチャーへのシフト ~オペレーションの安定性と自動化~
- 国内講演者
- 他所属
- 基調講演
- その他職名
佐々木弘志 氏
独立行政法人 情報処理推進機構(IPA)
産業サイバーセキュリティセンター(ICSCoE)
専門委員(非常勤)
CISSP
DX推進を実現するサイバーセキュリティアーキテクチャ
DX推進に伴い、情報システムのクラウド移行や、工場・サプライチェーン・製品・サービスのデジタル化によって、セキュリティ管理の対象領域が広がっており、その変化への追従が十分でない企業がサイバー攻撃の被害遭うことで、ビジネス継続に影響が出る事態となっています。このような拡大した領域のセキュリティ管理に対して、組織、運用、技術の観点での新しい「サイバーセキュリティアーキテクチャ」を示します。
Interop Tokyo カンファレンス 2023
- 国内講演者
- 民間企業
- ディスカッション
- 管理職
佐々木弘志 氏
フォーティネットジャパン(同)
OTビジネス開発部 部長
ソフトウェアのサプライチェーン管理 〜経済安保の観点で求められること・できること〜
ランサムウェアの被害組織から、インシデントに至った経緯や実態が報告書という形で公開されています。組織的・技術的な対策がいくつか挙げられる中、システム・ソフトウェアの提供元である事業者・ベンダーにおける対応や、サプライチェーンの管理について指摘がなされています。
なぜ、重大な脆弱性の対策が行われず、放置されてしまうのか。システムの要件定義の段階で、顧客とベンダーの間でセキュリティ上のリスクについてどこまで検討すればよいのか。運用後の役割分担は誰がどうやって決めればいいのか。ソフトウェアサプライチェーンの管理は、様々なプレイヤーが関係しあって複雑さを増しています。
また、経済安全保障推進法の「基幹インフラの安全性・信頼性の確保」の観点では、重要インフラ企業に国が指定した設備を導入したり・維持管理を外部委託したりする場合には、事前に所管省庁へ届け出が必要となります。具体的には、「設備の製造過程で不正なプログラムが組み込まれず」「サイバー攻撃で被害が出てもサービスが継続可能」であることを求められます。取引先である「設備の納入元」や「維持管理を委託する企業」の情報も、申告対象に含まれます。こうした国の取組に対して、供給する側として備えておくべき、今すぐできる対策とはなにか?
ソフトウェアのライフサイクルを管理するために、提供する側・される側を含め、どういった情報連携をするべきか。「セキュリティ品質確保の管理方法としての、SBOM(Software Bill of Materials)をはじめとしたソフトウェアサプライチェーンに関する取り組み」「先進的な脆弱性管理を行っている企業の事例、取り組みの中でうまくいかない部分」「ツールや管理システムの話だけではなく、業界を巻き込む形での情報連携」などの取り組みについて、ご紹介します。
<要旨>
●インフラ事業者(顧客)とサプライヤー(SIer、販売店)、デベロッパー(ソフトウェアベンダ)の連携
●ソフトウェア管理の透明性の取組(クラウドサービスの選定基準とか、開発委託先管理の話も)