顧客事例 - 株式会社日立システムズ様(東京都品川区)

株式会社日立システムズ様(以下、本文中敬称略)は、2017年10月に開設した SHIELD統合SOC における運用体制強化の一環として、CSMS認証取得に取り組みました。そこで課題としてあがったのが、ISMS/ISO27001認証との二重管理。それをいかに解決したのか、ジェイティ エンジニアリングのコンサルティングに対するご評価などと併せ、日立システムズの皆様にお話を伺いました。

(株式会社日立システムズについて)

日立システムズ

株式会社日立システムズは、幅広い規模・業種システムの構築と、データセンター、ネットワークやセキュリティの運用・監視センター、コンタクトセンター、全国約300か所のサービス拠点などの多彩なサービスインフラを生かしたシステム運用・監視・保守が強みのITサービス企業である。多彩な「人財」と先進の情報技術を組み合わせた独自のサービスによってお客さまのデジタライゼーションに貢献し、新たな価値創造に共に取り組み、お客さまからすべてを任せていただけるグローバルサービスカンパニーをめざしている。設立:1962年10月。本社:東京都品川区。従業員数:10,249名(2017年3月31日現在)

(SHIELD統合SOC について)

SHIELDサービス

国内初のセキュリティオペレーションセンターとして1996年にSHIELD SOCを開設。顧客システムのFireWallなどをセキュリティ専任スタッフがリモートで24時間監視するインターネットセキュリティ管理サービスを提供している。これまでは金融機関や産業流通分野のITシステムを主な対象としてサービスを提供してきた。しかしサイバー攻撃のターゲットが工場などで用いられる制御システムや監視カメラなどにまで広がる近年、サービス対象を制御分野にも拡大している。2017年10月には、制御システムなどのOT分野、監視カメラやセンサーなどのIoT分野など、多様な環境におけるセキュリティインシデントへの早期対応を実現するセキュリティオペレーションセンター『SHIELD統合SOC(Security Operation Center)』を開設した。

ジェイティ エンジニアリングへの依頼内容:CSMS認証取得支援サービス

ジェイティ エンジニアリング(以下、JTE)へのご依頼内容をお話しください。

日立システムズは2017年7月、制御システムのセキュリティアウトソーシングサービスを適用範囲とする、CSMS認証取得のコンサルティングをJTEに依頼しました。

JTEの担当者は福田さんです。同年8月から福田さんのコンサルティングによる準備をスタートし、2018年2月にCSMS認証を取得することができました。

SHIELD統合SOC の運用体制強化を目指しCSMS認証を取得

CSMS認証取得の目的をお話しください。

「情報システムと制御システム
のセキュリティの考え方の
違いを改めて実感しました」
(ネットワークセキュリティ
サービス事業部
ネットワークセキュリティ
オペレーション本部 第一部
部長 佐子山浩二氏)

CSMS認証を取得した目的は、2017年10月に開設したSHIELD統合SOC の運用体制強化です。国際規格に準拠した制御システムのセキュリティマネジメントシステム構築によって、より質の高いサービスの実現を目指しました。

セキュリティマネジメントシステムの国際規格による認証といえば、SHIELD統合SOC はISMS/ISO27001(以下、ISMS)認証を取得されていますね。

はい。日立システムズは2003年にSHIELD SOCを対象にISMS認証を取得し、現在も運用しています。2017年10月に開設したSHIELD統合SOC におけるセキュリティアウトソーシングサービスは、これまで主に金融分野を中心とした情報システムが対象でした。そのため情報システムを含む情報資産の全般を対象に、ISMSによるセキュリティマネジメントのもとで業務を行ってきました。

しかし制御システムにまでサービス対象を拡大するには、制御システムに焦点を当てたセキュリティマネジメントが必要です。制御システムに対するセキュリティマネジメントの国際規格はCSMSしかありません。他の事業者が提供するセキュリティアウトソーシングサービスとの差別化を図る上でも、CSMS認証取得は有効であると考えました。

CSMS認証取得に向けて準備を担ったのは、これまでISMSを推進してきたISMS事務局です。ISMSとCSMSの二重管理を防ぐために、CSMSの推進も同事務局に集約することとし、認証取得の準備をスタートしました。

CSMS構築に付随しISMS/ISO27001の見直しを相談

JTEのCSMS認証取得支援サービスをご依頼されるまでの経緯をお話しください。

「短期間での取得は困難と
思っていたら福田さんに大丈夫と言われて安心しました」
(ネットワークセキュリティ
サービス事業部
ネットワークセキュリティ
オペレーション本部 第一部
石濱公一氏)

CSMS認証取得を社内で意思決定した際、日立システムズは自社取得を目指していました。そのためJIPDECが発行する認証基準やユーザーズガイド、市販の教本などを読みながら準備をスタートしました。しかし認証基準やユーザーズガイドは、一般的な表現(原理原則)で書かれているため、具体的に何をして良いのかがわからず対応に困っていました。

そんな時に社内の別部署から紹介されたのが福田さんでした。日立システムズでは『IoT/M2M&産業サイバーセキュリティセミナー』など、サイバーセキュリティ関連のセミナーを全国で開催しています。福田さんには、それらのセミナーの中で何度も講師を務めていただいていました。実際にお会いして話を聞いたところ、CSMSやISMSに関する知識が豊富で、コミュニケーションも取りやすかったことから、福田さんにコンサルティングを依頼しました。

CSMSの構築に付随して何か相談されたことはありますか。

日立システムズは SHIELD統合SOC の開設を予定していたので、できるだけ早期のCSMS認証取得を目指していました。福田さんと調整し、2018年3月の取得を目指したスケジュールを立てていただきました。

その一方で懸念していたのが、先ほども申し上げたISMSとCSMSの二重管理です。

CSMSとISMSにはいくつか共通する要素があります。しかし個別に準備を進めると、二重に異なる管理のルールができることも考えられます。そもそも実際の業務の中では、ISMSとCSMSを区別して運用することなどできません。

そのようなジレンマを福田さんに打ち明けると、CSMS認証取得と並行してISMSの見直しもご支援いただけることになりました。おかげでCSMSとISMSの二重管理が生じないマネジメントシステムを構築するとともに、CSMS認証の早期取得を実現することができました。

CSMSとISMSのマネジメントシステムを共通化

ISMSの見直しとCSMS認証取得の準備はどのように進めたのですか。

「おかげでISMSとCSMSを
共通したマネジメントシステム
にまとめることが出来ました」
(ネットワークセキュリティ
サービス事業部
ネットワークセキュリティ
オペレーション本部 第一部
主任技師 石井雄二氏)

ISMSを運用している組織がCSMSを構築する場合、すでにあるISMSをベースに構築するのが効率的です。弊社もISMSのマニュアル類をもとに、ISMSとCSMSで共通して管理できる運用を考えながら進めました。JTEに日立システムズのISMSを十分理解してもらい、日立システムズに適したCSMSのドキュメント類をまとめていただきました。

福田さんと打ち合わせを重ねながら、約2ヶ月間でISMSの見直しとCSMSの構築を一通り終えました。

ISMSとCSMSの違いはどういったところにあるのですか。

情報セキュリティの3要素として、機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)があります。制御システムセキュリティにも共通する要素ですが、優先順位が異なります。情報セキュリティでは ①機密性 ②完全性 ③可用性 の順番ですが、制御システムセキュリティでは ①可用性 ②完全性 ③機密性 の順番となります。

またCSMSでは、健康(Health)・安全(Safety)・環境(Environment)といった3つの要素も加わります。CSMSの構築ではISMSをベースにしながらも、このようなCSMS固有の観点を踏まえる必要があることを、福田さんにいろいろ教えていただきました。

実際に日立システムズのサービスをお客様にご提案する中で「制御システムでは少しでも疑わしい動作を検知したらシステムを停止する」といった話をよく聞きます。確かに人の健康や安全、環境に影響するインシデントが起きれば止めざるを得ません。しかしシステムを止めることによって、お客様は大きな損失を被ります。そこで、そのような損失につながるリスクを洗い出して備えることが重要なのです。今回、CSMSの構築に取り組んだことで、あらためて制御システムのリスクに備えるための視点を持つことができました。

福田さんと打ち合わせをしながらマネジメントシステムを構築した他、日立システムズの皆様が担った作業にはどのようなものがありますか。

主に取り組んだのは、構築したセキュリティマネジメントシステムを現場に展開するための活動です。まずCSMSの構築が一通り終わった後、SHIELD統合SOC に所属するメンバーへの導入教育を実施しました。またSHIELD統合SOC では、ISMS運用の一環として「SHIELDセキュリティ委員会」を運営しています。そこでは毎月1回の定例会議を開き、現場から吸い上げた問題点等を整理して、それに対する進捗状況の報告などを行っています。CSMSもこの「SHIELDセキュリティ委員会」に集約しました。CSMS認証取得に向けては、この「SHIELDセキュリティ委員会」の中で関係者への周知も行いました。

その後、内部監査、マネジメントレビューを社内で実施し登録審査へと至りました。審査前には審査機関に提出するドキュメント類を揃え、福田さんに確認してもらった上で提出しました。また、第一段階審査の後は指摘事項を福田さんに伝え、第二段階審査に向けたアドバイスをいただきました。

ジェイティ エンジニアリングのサポートで運用体制作りに注力できた

ISMSの見直しとCSMS認証取得の準備はどのように進めたのですか。

「CSMSとISMSを運用する
体制が構築できたことが
最大の成果です」
(事業推進センタ
事業戦略・開発本部
担当部長 山口浩次氏)

CSMS認証取得を無事に終えることができただけではなく、ISMSとCSMSの運用体制を一つにまとめることができました。また、ISMSとCSMSのマネジメントシステムを共通化することができました。これは福田さんのサポートがあったからこその成果だと考えています。福田さんのサポートがなければ、ISMSの見直しによるISMS認証更新だけで終わっていた可能性もあると思っています。

JTEのコンサルティングに対するご評価をお話しください。

福田さんのサポートを受けたことで、規格の理解やドキュメント類の文書化に悩む時間を削減することができました。余計な時間を省くことができたことで、従業員教育やSHIELDセキュリティ委員会の運営などを通した体制作りに注力することができました。

ISMSもCSMSも規格は抽象的な文章で書かれており、どう解釈して良いのか非常に悩みます。それに対して福田さんは「こう理解して、こう表現すれば大丈夫」と明言してくれました。どんな小さな質問にも丁寧に回答していただけたこと、規格が求める要求事項をしっかりと説明してくれたことなども理解の助けになりました。

「自社取得をしようとして困っていた時に福田さんをご紹介いただきました。
福田さんの支援がなければCSMS認証の早期取得は実現していなかったと思います」
(左から石濱氏、山口氏、石井氏、佐子山氏)

今後の課題とジェイティ エンジニアリングへの期待

CSMSおよびISMSの運用上の課題をお話しください。

CSMSやISMSの運用に関して我々が最も危惧することはマネジメントシステムの形骸化です。現場とマネジメントシステムが乖離しないように運用していくことが重要です。現場の一人ひとりが自分の役割を考え、セキュリティ意識を持って行動することがサービス品質の向上にもつながります。今回の取り組みによってそのための体制は築けました。これからもしっかり維持していければ、競合他社と比べて競争優位を高く持てるでしょう。

JTEへのご期待をお話しください。

SHIELD統合SOC としては、いずれクラウドセキュリティも課題となってきます。福田さんはISMSやCSMSだけではなく幅広い分野の知識をお持ちなので、具体的な取り組みが始まる際には相談させていただく可能性があります。また、新サービスの立ち上げ時に外部の視点でアドバイスをいただくなど、様々なご支援を期待できる方だと感じています。

株式会社日立システムズ様、お忙しい中、ありがとうございました。


※株式会社日立システムズのWEBサイト

※取材日 2018年3月

ページトップへ