シャドーITの温床となった工場の末路……工場長の決断

長野のとある工場に取材に行った。その工場では“シャドーIT”がまん延し、工場に幾つものネットワーク機器が接続されているという。現在、スマートファクトリーの取り組みを進める中でセキュリティ対策を見直す段階にあるらしいが、工場長には考えがあるようだ。

[キーマンズネット]

　地元でよく子供が集まる秘密の場所がある。そこには、毎年多くのカブトムシがやってくる。あまりの数で驚くのだが、どうやらクヌギなどの木ではなく、カブトムシが集まりやすい特殊な木があると子供たちから貴重な情報をもらった。

　「この木に集まるんだよ」と教えてくれたその子は、去年だけで100匹は捕まえたらしい。話半分でも、それだけ簡単に確保できてしまう状況にあることはよく理解できる。

　実はこの場所は、民家の庭の一画に植えられた木の周辺。この木にカブトムシが集まることは、いわば公然の秘密とされているようで「おじさん、この場所誰にも教えちゃダメだよ」と口止めされた。

　確かに、広く知れ渡ってしまうと多くの人が殺到してしまうことは容易に想像できるからなあ。

謎のSSIDが50個表示される工場の末路……工場長の決断とは

　最近、長野県のある工場を取材した。以前は工場のネットワークはほぼ閉じられていて外部との通信をしていなかったが、今はIoTセンサーを活用してデータを収集し、クラウドで分析するスマートファクトリーの取り組みを進めている。ただ、話を聞くところによると、その工場は現在“シャドーIT”の温床になるなど、セキュリティ対策の見直しが必須だという。頭を悩ませた工場長はどのような手を考えているのか。

　スマートファクトリーを進めるためには、センサーからの情報を活用して工場内の可視化や業務の省力化、自動化を実現する仕組みが必要だ。そのためには、OTネットワークをインターネットに接続する他、社内LANとつなげてITネットワークと連携させる仕組みが求められる。

　そうなれば、遠隔地から工場設備を制御することも可能で、業務の省力化が期待できるが、OTネットワークがITネットワーク同様のセキュリティリスクにさらされることになるだろう。工場長もその辺りを気にしていて、セキュリティ対策の予算を確保するために奔走しているようだ。

　最近は名古屋港のシステムがランサムウェアに感染し、ターミナルのコンテナ搬出入作業ができない状況に陥ったことは記憶に新しい。ランサムウェアの脅威に対して、工場も何らかの対応が迫られている。

　ランサムウェア対策は、「特定」「防御」「検知」「対応」「復旧」といったサイバーセキュリティフレームワークにのっとったソリューションを実装し、運用することが必要になる。工場長いわく「そもそも、工場内には把握できていないIT機器が数多く存在している。それの把握が先決なんだが」と課題を吐露する。

　そこで検討しているのが、エッジスイッチから端末の接続状況に関するログを取得し、資産管理に未登録のデバイスが出てきた段階で強制的に隔離、対策を施す仕組みだ。IT資産管理ツールや差分状況の把握や分析を実施する統合ログ管理ツールなどを連携させて構築する。

　ただし、これらを絵の描いた餅で終わらせないためには、そもそもシャドーITが横行する工場内のIT資産状況を的確に把握しなければならないことは工場長も十分理解しているようだ。

　特に工場では、ラインごとで独自のデバイスが無許可のまま投入されているケースも多く存在する。工場長から「ほら、これ見て」と言われて差し出されたスマートフォンの画面には、さまざまな無線LANアクセスポイントのSSIDがずらっと表示されていた。

　優に50を超えているが、近隣の民家で使われているSSIDが約半数、それ以外はおそらく工場内に無許可で設置されている無線LANアクセスポイントのようだ。家庭でも手軽に利用できる無線LANだけに、そのリスクを認識しないまま設置されてしまい、「うちの工場はシャドーITの温床だよ」と工場長は嘆く。

　他にも、設備制御のPLC（Programmable Logic Controller）装置裏側に、何からのネットワーク機器が無造作に接続されている写真を見せてくれた。実は数年前にライン担当者がPLCの情報を収集して、自宅からでもログが見られるように仕込んでいたらしい。偶然見つかったから良かったものの、“業務を効率化したい”という純粋な思いからちょっとした知識でIT機器を設置してしまうケースが後を絶たないという。

　まずはこのブラックボックス化した状況をしっかり把握したいと意気込む。ランサムウェアなどの侵入経路として、攻撃者からすると狙いやすい部分であることは間違いないだろう。

工場長、あなたもシャドーITに加担していますが……

　おそらく勝手に設置した無線LANアクセスポイントも、当初は個人が秘密裏に利用していたが、今となっては公然の秘密として現場業務に日常的に利用されてしまっている状況にある。そんな危険な状況を打開するためには、その公然の秘密に頼らずとも、会社としてきちんと管理された状態でインフラを整備することが、シャドーIT対策としては重要なのだろうと改めて実感した。

　一通り工場長に話を聞き終えた段階で、現場にも話を聞きたいとお願いした。「あ、ちょっと待ってて。現場の担当者を呼び出すから」といって工場長が利用しているコミュニケーションツールは、企業で契約しているものではなく、個人で日常的に利用している「LINE」だったりする。工場長、それも情報漏えいのリスクがあるシャドーITなんですけど、と指摘したい衝動をおさえた。

---

読めば会社で話したくなる！　ITこぼれ話

　キーマンズネット取材班が発表会や企業取材などなどで見聞きした面白くて為になる話を紹介します。最新の業界動向や驚きの事例、仕事で役立つ豆知識に会議で話せる小ネタまで「読めば会社で話したくなる！」をテーマに記事を掲載。

---