Trend Micro DIRECTION 2018 報告

ひとつのビジョンが
つながる世界の安全を守る

【トヨタさま特別講演】
トヨタ式のセキュリティ対策の要諦

「Trend Micro DIRECTION 2018」では、特別講演のスピーカーとして、トヨタ自動車の情報セキュリティ対策を推進する寺澤 知昭氏(情報セキュリティ推進室 主査)が演壇に上り、「企業活動を支えるセキュリティ対策の考え方」と題した講演を展開した。そのエッセンスを紹介する。

トヨタ自動車株式会社
情報セキュリティ推進室 主査
寺澤 知昭氏

セキュリティは目的の明確化から始まる

日本を代表する自動車メーカー、トヨタ自動車。同社の事業拠点は文字どおりグローバルに広がり、自動車工場だけで海外に100以上ある。そうしたトヨタ自動車にあって、トヨタグループ全体のセキュリティルールの策定や対策投資の方針策定などを一手に担っているのが「情報セキュリティ推進室」だ。Trend Micro DIRECTION 2018(東京)の特別講演のスピーカーとして演壇に立った同推進室の主査、寺澤 知昭氏は、講演の冒頭、「トヨタでは、サイバーセキュリティに関して特別な施策を展開しているわけではありません」としたうえで、「ただ、情報セキュリティ対策に対する私たちの考え方や活動は、ユーザー企業がどのようにセキュリティ対策と向き合えばいいかの参考になるかもしれません」と話を切り出す。

同氏によれば、セキュリティ対策を展開するうえで重要な一つは、目的の明確化であるという。

「セキュリティ投資でありがちな間違いは、目的が不明確なまま、必要以上のソリューションに投資をしてしまうことです。セキュリティを強化するにしても、その強化によって自社が実現したいことが何かを明確にしておくことが大切です。セキュリティソリューションのトレンドに流されても意味はありません。まずは、対策の方針と目標を明確に定めて、適切なソリューションを選び、導入すること。それが重要です」

こうした考え方の下、トヨタでは、セキュリティ対策のベンチマークとして、「製造業のトップレベルから金融業界の平均値」を目指すという方針を掲げている。

こうした方針を定めたうえで、トヨタでは、NIST(National Institute of Standards and Technology:米国標準技術研究所)のフレームワークを活用して、自社の目標とセキュリティの機能をマッピングし、経営層が理解しやすいかたちで必要とされる対策を整理し、活動/投資へのコミットを得ているという。

さらに、情報セキュリティのロードマップは1年単位で更新をかけ、トヨタ自動車の関連会社や子会社、販売店に順次横展開して、有効な仕組みを全体で共通化したり、セキュリティソリューション選定の基準を標準化したりしている。

「当社のサプライチェーンを構成するどこかの会社にセキュリティ侵害が発生すれば、トヨタ自動車本体の管理責任が問われます。ですから、サプライチェーン全域のセキュリティレベルを同水準に保つことも非常に大切なのです」(寺澤氏)。

トヨタ式で進めるルール、システム、教育

寺澤氏によれば、トヨタでは、トヨタグループ全体のセキュリティルールのガイドライン「ATSG(All Toyota Security Guideline)」を2005年に策定し、トヨタグループ共通のチェックシートや定期点検を始動させているという。

「このガイドラインは、NISTなどの政府機関や専門機関のガイドラインを参考にしながら、グループ各社の代表が集まり、3年に1度のスパンで更新をかけています。ガイドラインに定めた目標は3年間で100%を達成するようグループ各社にお願いしていて、評価のプロセスは、1年ごとに各社が自己評価して改善するというものです。最新版のガイドラインでは、サイバー攻撃対応やグローバル対応を追加しています」と、寺澤氏は説明を加える。

また、情報セキュリティの体制とシステムについては、監視センターの「TSOC(Toyota Security Operation Center)」を世界各所に設置し、緊急時対応チーム(CSIRT:Computer Security Incident Response Team)である「TMC-SIRT」と連携している。

TSOCについては、「内部漏えい」と「サイバー攻撃」の両面を監視しており、SOCのシステムには、大量ログを処理する必要のある事業体向けと、低コストで監視できる中小規模の事業体向けの2タイプに分けているという。また、インシデント情報の共有化は、世界の各地域での共有とグローバル共有の2つのスタイルで行っている。

トヨタでは、情報セキュリティの「教育・啓発」にも積極的に取り組み、「従業員にセキュリティを身近に感じてもらうための施策を展開しています」と、寺澤氏は説明する。

例えば、同社では、メール攻撃教育として、2つのフェーズに分けた演習を展開中だ。これは、「不審メールを見極める力をつける演習」を第1フェーズとし、「受信時の処置を身につける演習」を第2フェーズとした演習である。「第1フェーズの演習の繰り返しで、不審メールの開封率がかなり下がってきたので、そろそろ第2フェーズへの移行を考えています。こうした実践的な訓練で従業員の危機感を維持することは大切で、今後は、実際に出回っている攻撃メールを元にメール文面を一層巧妙にするなどの工夫を凝らすつもりです」(寺澤氏)。

工場のサイバーセキュリティは効果のある施策の地道な継続で

寺澤氏の今回の講演では、工場のセキュリティ対策にも話が及んである。

現在、工場に対するサイバー攻撃には、「①情報系システム」「②リモートメンテナンス」「③可搬型メモリ」「④保守用PC」「⑤無線ネットワーク」「⑥物理的侵入」「⑦内部犯行」という7つの攻撃面があるとされている。トヨタではこれらの防御を固めるために、セキュリティ強化の領域を「①ネットワーク」「②物理対策」「③生産設備対策」「④ルール整備・点検」の4つに整理し、セキュリティの改善を推進している。

課題の一例として、過去において、保守事業者が設備保守で持ちこむPCやメディアからのウイルス感染が続いていたという。

「そうした状況を打開するために、生産設備のPCのUSBやLANポートを封印するなど、さまざまなウイルス対策を講じたのですが、結果が出ず、苦労を強いられました。最終的には、保守事業者が工場に立ち入る際に徹底したウイルス検査を義務化するなど、工事の立ち入りから保守作業に至る一連の作業をルール化し、大きな成果を上げることができました。この経験から、地道な活動の継続で、セキュリティが強くなることを改めて実感できたと言えます」と同氏は語り、こう話を締めくくる。

「繰り返すようですが、セキュリティ対策で大切なのは、目的の明確化で、その目的と自社のIT環境や業務のあり方に沿って、どのような対策が有効かを考えることです。スペック上の機能が同じに見えるセキュリティ製品も、自分たちの目的と業務への適用を想定して慎重に見比べると、大きな違いがあることに気づく場合があります。ぜひ、その辺りを念頭に置きながら、セキュリティ対策の最適化を図られることを願っています」

記事公開日 : 2019.2.12
 この記事は、公開日時点での情報です