ホーム > mixiニュース > IT・インターネット > IT総合 > 文化もITリテラシーも異なる拠点でセキュリティ教育を徹底させるには “重要インフラ”を守る中部電力の取り組み

文化もITリテラシーも異なる拠点でセキュリティ教育を徹底させるには “重要インフラ”を守る中部電力の取り組み

0

2019年01月18日 10:33  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真パネルディスカッションに登壇した中部電力 ITシステムセンター 統括グループの宮地美希氏(写真=左)と鈴木麻衣氏(写真=中)、同グループの主任を務める吉川由紀氏(写真=右)
パネルディスカッションに登壇した中部電力 ITシステムセンター 統括グループの宮地美希氏(写真=左)と鈴木麻衣氏(写真=中)、同グループの主任を務める吉川由紀氏(写真=右)

 電力という“生活に欠かせないインフラ”を、安定的に運用することを社会から強く求められている電力会社。最近では、社会インフラを狙ったサイバー攻撃が増えつつあり、制御系(OT:Operational Technology)のリスクだけでなく情報系(IT)のリスクも鑑みた強固なセキュリティ対策が急務となっている。



【その他の画像】



 中部地方の電力供給を担う中部電力では、社員のセキュリティリテラシー向上やCSIRTの運営、レッドチーム演習などの取り組みを通じてOTとITの双方の堅牢化を図っている。同社の取り組みで興味深いのは、若手や女性が中心となってセキュリティ戦略をけん引している点だ。



 2018年11月に行われた「ITmedia エンタープライズ ソリューションセミナー」の基調講演、「中部電力、IT女子奮闘記」では、中部電力 ITシステムセンター 統括グループの吉川由紀氏と宮地美希氏、鈴木麻衣氏を招いたパネルディスカッションが行われ、それぞれの立場から取り組みの詳細や工夫、試行錯誤の過程を紹介した。



●拠点ごとに文化もITリテラシーも異なる中、どうやって教育を徹底させるか



 同社のセキュリティ対策とリテラシーの強化を図る上でポイントとなったのは“拠点ごとの対応”だったと宮地氏は振り返る。電力会社の拠点は、発電所や変電所など“エリア内に面で広がっている”のが特徴で、それぞれの現場ごとに異なる対策が必要だったという。



 「拠点ごとに業務も文化も異なるため、IT部門が状況を把握することが重要でした。机上の空論にならないよう、自分の目で現場を見て理解を深めるようにしています」と、宮地氏は述べる。



 制御系ではベテランのエンジニアでも、情報系には疎い――というケースも少なくない。しかし昨今の業務ではPCを利用するシーンも多く、不慣れのままではリスクを抱えることになる。そこで中部電力では、全社員のITリテラシーを向上させるため、PCの基本操作から学ぶことのできる“IT自習室”を設けて、鈴木氏らが指導に当たっている。



 鈴木氏は、ベテランスタッフに“指導”することの難しさについて、「中にはPCを毛嫌いしてしまう人もいますから、マンツーマンで寄り添うように、相手の気持ちに共感しながら教えるべき内容を伝えていくことが重要だということを体感しました。女性の方が、こうした親身な指導に向いているかもしれません」と述べている。



●若手や女性が積極的にチャレンジできる理由



 もともと電力会社では、制御系システムのリスク管理を徹底しており、中部電力でも既存の取り組みの中に情報系のリスクを採り入れてセキュリティ戦略を策定し、実践している。重要な取り組みの一つである“訓練”では、若手社員が中心となってシナリオを作成しているという。



 「(ITに詳しい)若手社員が持つ新しい発想に期待して、訓練の準備段階から参加してもらいました。例えば“1時間以内に停電させるというテロ声明があった”というシナリオでは、『時間制限』という新しい要素で何をすべきか考える必要がありました。SNSを駆使してリスクの予兆を発見したり、誤情報への対処を考えたりと、これまでにない訓練を実施できて、社内からも好意的に受け止められています」(宮地氏)



 また、昨今の中部電力では、既存設備やIoT/AIを活用した新しいICTサービスの提供にも取り組んでいる。スマートフォンを利用して子どもの居場所を確認できる見守りサービス『どこニャンGPS BoT』や、電柱に設置したカメラで街頭防犯や敷地監視を実現できる『mimamori-pole』などが挙げられる。



 実際に2児の母親でもある吉川氏は、こうしたサービスで子どもを監視できるメリットをアピールしながらも、「子どもは制御し過ぎると、それを超えようとして反発してしまうかもしれません。小学生のプログラミング教育も始まることですから、むしろ子どものうちからセキュリティを意識して教育することが必要だと考えています」と指摘する。同氏はまた、家族とのコミュニケーションを重視して、仕事と育児の両立を理解してもらうことも重要だと述べた。



 最後に3人は若手や女性に対し、“若手スタッフにはこれから長い社会人としての人生が待っており、女性はライフイベントでキャリアが大きく転換する機会も多い。自らが実践してきたように、こうした社内の取り組みへ積極的に参加して、幅広くチャレンジしていくことが必要”とアドバイスした。



●EDRでも不十分、迅速な脅威検出にはxDR――パロアルトネットワークスの広瀬氏



 旧来のシグネチャ型アンチウイルスは、既に最新のサイバー攻撃に対して無力であることが知られている。セキュリティ強化のためには「EDR」(Endpoint Detection and Response)が必要とされてきたが、パロアルトネットワークス サイバーセキュリティ営業本部 リージョナルセールスマネージャの広瀬努氏は、「EDRはなぜ時代遅れなのか? xDRとは何か?」と題した講演で、「EDRすら不十分だ」と指摘する。



 深刻な脅威を的確かつ迅速に見つけ出すには、コンテクスト(前後関係)を把握することが重要なポイントとなる。ネットワークやホスト、ユーザー、プロセス、アプリケーションに関する情報があれば、調査は格段に速くなる。例えばC&Cサーバ(コマンド&コントロールサーバ)を検出するためには、同一実体の数日にわたる活動を正確に追跡する必要がある。つまり、デバイスIDとドメインIDの情報が必要であり、エンドポイントを中心としたEDRのみでは対応できない。



 「xDRでは、端末・アプリケーションのアクティビティーログやネットワークログを統合し、機械学習によって脅威を検出します。パロアルトは、そのためのソリューションと機械学習のためのデータを保有しています。私たちは、セキュリティ対策を自動化することで、ユーザーのビジネスをサポートしたいと考えています」(広瀬氏)



●「時代遅れのセキュリティ対策」をしないために――CompTIA日本支局の板見谷氏



 社会人に求められるスキルや知識は、以前と比べて格段に幅広くなっているといわれる。どんな環境でも、どのような顧客でも属人化することなく、業務を一人前に実行できる能力が求められるようになった。



 「CompTIA認定資格は、ベンダーやメーカーに依存せず、業務能力の基準を客観的かつフェアに評価する資格として世界中で用いられています。いかなる環境でも対応できる力、すなわち“体幹”を評価する資格です」と、CompTIA日本支局 シニアコンサルタントの板見谷剛史氏は説明する。



 セキュリティに関する資格としては、エントリーレベルのセキュリティスキルや知識を問う「CompTIA Security+」や、ITセキュリティにおける分析や全体的な改善を実行するセキュリティアナリスト向けの「CompTIA CySA+」が提供されている。



 ランチセッション『ランチ de CompTIA認定資格チャレンジ!』では、クイズアプリを活用したSecurity+/CySA+の模擬テストを実施。全5問で、高得点の回答者3人にノベルティグッズが贈られた。Security+は初歩的な問題で、素早く回答する参加者も多かったが、CySA+はコード分析など本格的なものまで含まれており、頭をひねっている人も多かった。


    あなたにおすすめ

    ニュース設定