フォーティネットジャパン(同) OTビジネス開発部 部長
国内製造企業の制御システム機器の開発者として14年間従事した後、セキュリティーベンダーに転職。制御システム開発の経験をもつセキュリティー専門家として、産業サイバーセキュリティーの文化醸成(ビジネス化)をめざし、国内外の講演、執筆などの啓発やソリューション提案などのビジネス活動を行っている。 独立行政法人 情報処理推進機構(IPA)産業サイバーセキュリティセンター(ICSCoE)専門委員(非常勤) 経済産業省 商務情報政策局 情報セキュリティ対策専門官(非常勤) 名古屋工業大学 産学官金連携機構 ものづくりDX研究所 客員准教授(非常勤)
※ プロフィールの引用元は「Interop Tokyo カンファレンス 2023」になります。
※ 同姓同名の登壇者も含まれておりますので詳細は以下の一覧をご確認ください。
ソフトウェアのサプライチェーン管理 〜経済安保の観点で求められること・できること〜
ランサムウェアの被害組織から、インシデントに至った経緯や実態が報告書という形で公開されています。組織的・技術的な対策がいくつか挙げられる中、システム・ソフトウェアの提供元である事業者・ベンダーにおける対応や、サプライチェーンの管理について指摘がなされています。 なぜ、重大な脆弱性の対策が行われず、放置されてしまうのか。システムの要件定義の段階で、顧客とベンダーの間でセキュリティ上のリスクについてどこまで検討すればよいのか。運用後の役割分担は誰がどうやって決めればいいのか。ソフトウェアサプライチェーンの管理は、様々なプレイヤーが関係しあって複雑さを増しています。 また、経済安全保障推進法の「基幹インフラの安全性・信頼性の確保」の観点では、重要インフラ企業に国が指定した設備を導入したり・維持管理を外部委託したりする場合には、事前に所管省庁へ届け出が必要となります。具体的には、「設備の製造過程で不正なプログラムが組み込まれず」「サイバー攻撃で被害が出てもサービスが継続可能」であることを求められます。取引先である「設備の納入元」や「維持管理を委託する企業」の情報も、申告対象に含まれます。こうした国の取組に対して、供給する側として備えておくべき、今すぐできる対策とはなにか? ソフトウェアのライフサイクルを管理するために、提供する側・される側を含め、どういった情報連携をするべきか。「セキュリティ品質確保の管理方法としての、SBOM(Software Bill of Materials)をはじめとしたソフトウェアサプライチェーンに関する取り組み」「先進的な脆弱性管理を行っている企業の事例、取り組みの中でうまくいかない部分」「ツールや管理システムの話だけではなく、業界を巻き込む形での情報連携」などの取り組みについて、ご紹介します。 <要旨> ●インフラ事業者(顧客)とサプライヤー(SIer、販売店)、デベロッパー(ソフトウェアベンダ)の連携 ●ソフトウェア管理の透明性の取組(クラウドサービスの選定基準とか、開発委託先管理の話も)
製造業を守る!今求められるサプライチェーンセキュリティ ~繋がる工場のサイバーレジリエンスを高める段階的アプローチ~
昨今、日本の製造業を狙ったサイバー攻撃が増え、国内外において各業界へのセキュリティ規制が加速しています。本セミナーでは、繋がる工場のサイバーレジリエンスを高めるために必要となるセキュリティ対策とは何か、またどのようなアプローチで取り組むべきか、ご紹介します。
DX推進を実現するサイバーセキュリティアーキテクチャ
DX推進に伴い、情報システムのクラウド移行や、工場・サプライチェーン・製品・サービスのデジタル化によって、セキュリティ管理の対象領域が広がっており、その変化への追従が十分でない企業がサイバー攻撃の被害遭うことで、ビジネス継続に影響が出る事態となっています。このような拡大した領域のセキュリティ管理に対して、組織、運用、技術の観点での新しい「サイバーセキュリティアーキテクチャ」を示します。
「見えない化」する脅威、どう戦う? 2022
近年、大手クラウドベンダ主導でネットワークプロトコルのセキュア化が目覚ましい勢いで進行しており、その副作用として、脅威の「見えない化」も進行しています。本セッションでは、「見えない化する脅威に対し、セキュリティアーキテクチャ、ネットワークアーキテクチャ、および製品・サービスの変革の組み合わせでどのように戦っていくのか」 という問いを設定し、現時点での最新状況と、第一線のエキスパートによるそれぞれの持ち場からの戦況報告を持ち寄り、縦横無尽にディスカッションを繰り広げます。 ネットワークプロトコルのセキュア化としては、「DOH (DNS over HTTPS)」「DOT (DNS over TLS)」「TLS 1.3 」を取り扱い、これらがインシデントや兆候の可視性にどのような影響を与えたのかを解説します。また、現時点で試みられているセキュリティアーキテクチャとしてゼロトラスト・アーキテクチャをとりあげ、これを適用した効果や限界などについても議論します。さらにネットワークアーキテクチャによる変革として、マイクロセグメンテーション等の使いどころについても紹介します。
DXのセキュリティ:部門の壁を破る組織態勢の在り方
長期化するコロナ禍の中で、DX推進のうごきは「各企業の生き残りをかけた必須のビジネス活動」として位置づけられています。リモートワークの推進のみならず、工場・プラントの自動化・リモート管理の推進、製品・サービスのIoT化・他業種との協業サービスなど、企業のさまざまなビジネス活動がサイバー空間に拡張されることにより、セキュリティを管理すべき対象が、従来の「情報システム」だけではなく、「工場・プラント」「製品・サービス」「サプライチェーン」といった領域に拡大しています。 こうした拡大したビジネス領域において、「組織態勢のガバナンスが十分でない」ことに起因するセキュリティリスクが増大しています。たとえば、「電子マネーサービスにおける二要素認証対応などの対策不備によるセキュリティ被害」がその一例です。また従来の情報セキュリティ部門を中心とした「社内情報システムのみを管理対象とする態勢」では、各事業部門がDXを進める工場・プラント、新製品・サービスのセキュリティ対策に十分なガバナンスが効かず、初歩的とも思える対策不備が露呈するケースが発生しています。 本セッションでは、「DXの推進により拡大した領域のセキュリティインシデントの現状認識」を共有し、スピーカーの企業で行われている実際の取り組みを紹介したあとで、「リスクを減らすための企業の組織態勢やガバナンスの在り方」「経営層をどのように巻き込めば良いか」といった課題について、パネルディスカッションにて議論し、同様の課題を持つ聴講者の具体的なアクションのヒントとなることを目的とします。
