サプライチェーン・セキュリティは競争優位獲得の機会に ホールディングス化したパナソニックのリスク対応戦略
パナソニックでは2022年4月のホールディングス化に伴い、デジタルを中核とした事業基盤を拡大。セキュリティは経営リスクの一つと捉え、その強化に取り組んでいます。パナソニックホールディングスが経営視点から考えるセキュリティ戦略やリスク管理、現在の課題とその対策について、同社で製品セキュリティセンターの責任者を務める松本哲也氏にお話を伺いました。
事業戦略として「攻め」のセキュリティに取り組む パナソニック ホールディングス(以下、パナソニック)では、貿易・地政学的リスク、自然災害・事故、重大不正などとならぶ、全社重要リスクの一つとしてサイバー攻撃対策に取り組んでいます。サイバー攻撃への対策は、「ITセキュリティ」「製造システムセキュリティ」「製品セキュリティ」の3分野に分けて推進しています。
情報システム部門などを含め長くセキュリティに携わっている松本氏は、製品セキュリティについて、とくにこの数年で大きく環境が変化していると言います。このような環境下では、「守り」のセキュリティだけでなく、セキュリティを商品やサービスの付加価値にするなど、事業の競争優位を獲得につながる「攻め」のセキュリティの重要性を指摘されました。
「現在のサイバー・フィジカル・システム(CPS)時代におけるサプライチェーン・セキュリティは、経営リスクを伴う脅威であると同時に、競争優位性を発揮する機会の獲得にもなり得ます。これらに対応しないと、事業を失ってしまうリスクが生じてしまいます。そこで、まずは『守り』のセキュリティを考えなければなりません」(松本氏)
「守り」のセキュリティには、サプライヤーとして事業を行っている国、地域、業界で施行されているさまざまなスタンダードやレギュレーションを遵守し、脅威リスクを回避することなどがあります。具体的には、米国では防衛調達要件としてCMMC(サイバーセキュリティ成熟度モデル認証)などへの対応、日本ではサイバーセキュリティ経営ガイドラインや自動車産業向けの法令、保安基準などへの対応が求められます。
「CPS時代では未確定な部分も多いため、事業戦略として積極的にサプライチェーン・セキュリティに取り組むことで、未成熟市場で競争優位性を発揮する『攻め』のセキュリティにも注力する必要があります」(松本氏)
パナソニックが示す「攻め」のセキュリティとは、経営リスク回避に向けたプロアクティブな対応により、同社の製品やサービスに対してセキュリティ面で強みを持たせることで、競争優位性を向上させることです。また、標準化団体や業界団体におけるベストプラクティスやガイドラインの策定に参画するなどのロビー活動を通して競争優位性の確保を図るルール形成戦略を推進することも「攻め」のセキュリティの一環になっています。
セキュリティリスクをビジネスの「空間」「時間」軸で捉えるCPS時代のセキュリティリスクでは、「資産」「脅威」「脆弱性」が密接に関係していきます。また、IT領域だけでなく、バリューチェーンをはじめ事業全体にわたってセキュリティリスクの影響が及びます。そのため、セキュリティマネジメントを行ううえでは、「空間軸」と「時間軸」の2軸で対策を行う必要があります。パナソニックでは、経済産業省が発行する「サイバー・フィジカル・セキュリティ対策フレームワーク※」をベースにしたテンプレートを用いて、セキュリティマネジメントを検討しています。
※サイバー・フィジカル・セキュリティ対策フレームワーク:サプライチェーンの信頼性を確保する観点から、産業社会を3つの層から捉え、それぞれにおいて守るべきもの、直面するリスク源、対応方針等を整理したもの。
https://www.meti.go.jp/press/2019/04/20190418002/20190418002.html
なお、空間軸というのは、システム同士のつながりや企業間でのつながりを指し、「サイバー空間」「サイバーフィジカル空間」「フィジカル空間」の3層構造で形成されています。一方、時間軸というのは、設計開発や品質管理といったライフサイクル全体を指します。
パナソニックでは、資産における製品セキュリティについて、従来だと時間軸では品質観点でセキュリティマネジメントを行うことで、出荷前のリスクの最小化と出荷後のインシデント対応に取り組んでいました。一方、空間軸については、製品カテゴリごとにクラウドを用意するなどサイロ型の管理をしていました。
「CPS時代のセキュリティ要件を満たすには、時間軸では、製品ライフサイクルのみならずサプライチェーン全体にわたってセキュリティの考え方を広げていく必要があります。一方、空間軸では、ビジネスモデルの変化により発生するシステム間の連携など空間の拡大に取り組むとともに、その中に散在する資産をそれぞれ守っていかなければなりません」(松本氏)
続けて松本氏は、脅威におけるセキュリティリスクについて以下のように述べました。
「脅威はさまざまな箇所に存在しています。例えば、ITでは、システム停止により業務が中断してしまったり、OT、工場では生産ラインがストップする可能性もあります。一方、製品では、製品不良や機能不全に陥る可能性が考えられます。これがヘルスケアの商品・サービスの場合は、製品の欠陥や不備が生命の危機につながりかねません」(松本氏)
脆弱性については、IT・工場・製品でそれぞれ考え方にギャップがあると松本氏は指摘します。
「脆弱性の対応については、ITセキュリティであれば、パッチの適用や再起動、あるいはフォーマットにより対応できますが、工場で同じことをしてしまうと生産ラインの停止や生産効率の低下にもつながりかねません。製品そのものの脆弱性については、お客様の資産になりますので、お客様自身で対応していただく必要があります。もちろん当社では、製品の脆弱性対応を行うファームウェアアップデート基盤を用意しています。また技術的なセキュリティ以外にも、人材面での脆弱性もあります。当社では、全社的にセキュリティ意識を向上させるべく、専門技術や品質に関する教育だけでなく、『プラスセキュリティ人材』というキーワードで、セキュリティ教育を実施しています」(松本氏)
サイバーセキュリティ機能の統合でバリューチェーンを守るパナソニックでは、現在のセキュリティ課題として「グループ全体での横断的な統括機能が不十分」であることを挙げており、企業活動全般、バリューチェーン全体のリスクマネジメントのため、サイバーセキュリティ機能統合を目指しています。
「当社では、事業活動の停止がサイバーセキュリティにおける最大のリスクと考えています。パナソニックグループとしてサイバーセキュリティに一枚岩で対応するために、IT、OT、そして製品セキュリティ機能を統合することで、『守り』のセキュリティと同時に、セキュリティを通して事業に貢献する『攻め』のセキュリティに取り組んでいきます」(松本氏)
具体的な「攻め」のセキュリティの一例として、パナソニックでは、IoT-SOCの事業展開計画を挙げています。これは、IoTにおけるサイバーセキュリティの監視技術を確立し、事業展開に向けてSOCサービスを提供する計画です。
「当社では、IoTに特化したフルタイムでグローバルなSOCサービスを事業化していく予定です。家電やソリューションといった主力部門はもちろん、ビルオートメーション、車載、工場など多岐にわたりSOCサービスを提供することができます」(松本氏)
このIoT-SOC領域においても、パナソニックとトレンドマイクロでは自動車のセキュリティに関して実証実験を進めるなど、連携を深めています。
外部、内部の環境にあわせて、常に進化を続けるパナソニックのセキュリティ。セキュリティを経営リスクとしてとらえ、先進的な取り組みを推進してきたその実績と知見を武器に、さらに攻めのセキュリティで事業貢献を目指す、今後の展開に注目です。
Security GO新着記事
RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
(2024年12月26日)
ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
(2024年12月25日)
