経営層が理解できる「OTセキュリティ戦略」はどのように策定すればよいのか：IoT時代の安全組織論（5）（1/2 ページ）

はじめに

　前回は、経営層の理解の進め方について、Stage2からStage3の「OTセキュリティ戦略の必要性」を理解するために、「場当たり的なパッチ当て対策」がなぜうまくいかないかを中心に説明した。今回は、さらにその必要性の理解を深めるために、具体的に「OTセキュリティ戦略」をどのように策定するのがよいかについて説明する。

セキュリティ対策は、経営計画とひも付く必要がある

　経済産業省が策定した「サイバーセキュリティ経営ガイドライン」には、サイバーセキュリティを経営問題として捉え、経営層がリーダーシップを取って、セキュリティ対策を推進すべきである旨が書かれている。

　もし、本当に経営層が、サイバーセキュリティを経営問題と捉えているなら、セキュリティ対策が、経営計画とひも付いているべきである。言われてみれば当たり前の話なのだが、具体的にそれができている製造事業者は少ないのではないか。逆の言い方をすれば、それは、結局、その事業者にとってサイバーセキュリティが経営問題として認識されていないことを意味する。

　では、「セキュリティ対策を、経営計画をひも付ける」とはどういうことだろうか。仮想の具体例を基に考えてみよう。

　図1に、前回登場した事業者Aの経営計画を示す。あくまで仮想であるが、何となくありそうな経営計画ではないだろうか。この経営計画の中身について簡単に説明しよう。

図1　事業者Aの経営計画イメージ（仮想の事業者の計画）（クリックで拡大）

　たいていの会社は、社会に対する貢献をうたった「経営理念」をもっている。テレビCMなどで耳にするスローガンのようなフレーズがそれだ。この経営理念は、あらゆる経営判断の基準となるべきである。この経営理念の基に、経済活動を行うことで達成を目指すものが経営目標だ。たいていは利益や売上の数値目標となっている。この目標を達成するのに必要なのが経営戦略である。戦術が具体的な施策なのに対して、戦略はその戦術の基になる方向性を示すものである。この事業者Aの場合、強みのある部門と不採算部門がはっきり分かれており、厳しい競争を勝ち抜くために大規模なリストラを断行しようとしていることが見て取れる。

OTセキュリティ対策にどれくらいお金がかけられるのか

　では、この経営計画に沿って、「OTセキュリティ戦略」を立案してみよう。戦略を立てる上で、最初にOTセキュリティ対策にどれくらいお金がかけられるかの概算を知るのは重要なことだ。

　このとき、経済産業省の調査による業界別のIT投資におけるセキュリティ投資の比率（製造業の平均：2.3％、電気機械器具業の平均：3.2％）が参考となるだろう。この指標はITセキュリティ投資に関するものだが、この比率をOTの設備投資額に当てはめて考えれば、設備においてどれくらいセキュリティ投資が必要かの目安にできる。

　実際、OTセキュリティにいくらお金をかけるべきかについては、会社の規模、経営状況にも依存するため、一概には言えない。引用した統計を細かく見ると、ITのセキュリティ投資であっても、回答企業によってばらつきが大きいのが分かる。

　しかし、こういった統計を援用しながら計画を立案することはとても重要である。なぜなら、ここで立案する「OTセキュリティ戦略」は、経営層の承認が必要であるため、なぜその投資が必要かについて、経営層が理解できる言葉やロジックで説明できなければならないからだ。そのときに客観的な統計というのは強力な武器となる。