【イベント】【好評につき再開催‼︎】アクセンチュア流!セキュリティ課題解決に必要な分析力と技術力の活かし方を体験するワークショップ#02
「コネクテッド・ビークル」の脅威とその対策を、CISOへ提案しよう!
藤井さんによる講演の終了後は、事前に割り振られた3〜4名のグループでのワークショップのスタートです。
ワークショップの課題は「全く新しいコネクテッド・ビークルを作ろうとしている自動車メーカーのCISO(最高情報セキュリティ責任者)に、コネクテッド・ビークルに想定される脅威とその対策を提言する」というもの。
「コネクテッド・ビークル」は外部のサービスと連携して、例えば、スマートフォンからの指示で自動運転を行なったり、交通システムと連携して自動的に最適なルートを走行したり、状況に応じて保険などをオンデマンドで契約できたり、家の家電の制御を行えたりする、全く新しい自動車です。
各グループには、アクセンチュアの写真がひとりずつファシリテーターとして合流します。与えられた時間は60分間。その後、話し合われた結論を各グループ5分でプレゼンします。
下記は課題の概要です。
ーーーーーーーーー
・依頼の背景
自動車メーカーは全く新しい自動車を使ったユーザー体験を提供する自動車のコンセプト「コネクテッド・ビークル」の企画をアクセンチュアデジタルからの提案をもとに立案。この実現には自動車自体が外部の様々なサービスと連携ることが必要。
→CEOは新たな収益源となる可能性を感じつつも、自動車の制御を乗っ取られないか不安を感じる。
→CEOはCISOに「新企画にセキュリティの問題がないか?」を報告するよう指示。
・CISOからの提案依頼
新しい事業にリスクは付き物。セキュリティ脅威・対策が不十分で、事故が起こればCISOの責任問題に。
→未知の領域であるので社内の検討だけでは不安。外部の専門家に以下を相談することにした。
1.コネクテッド・ビークルで想定される脅威は何か?
2.「1」の対策として何をすれば良いか?
・ユースケース
1.スマホからの指示に基づく自律的な運行
2.交通制御システムと連携した移動の最適化
3.保険の追加契約等多彩なオンデマンドサービスとの連携
4.コネクテッド・ビークル自身を含むIoTデバイスのモニタリング及び制御
ーーーーーーーーー
課題をより理解したい方はこちらの動画をご覧ください。
活発に議論が交わされ、60分はあっという間に経過しました。それでは、各グループの提案内容を紹介します!
発表1 グループ6の提案
まずは、じゃんけんを勝ち抜いてトップバッターを獲得したグループ6の発表です。
グループ6では「交通制御システムと連携した移動の最適化」のユースケースにおける、脅威へのリスク対策を提言しました。
「端末の内部」「端末の外部」という軸と、それぞれに対する「可用性」「完全性」「信頼性」という軸から、どのようなリスクがあるのか計6つのセグメントごとに洗い出します。
顧客がどのようなルートを望むのかを改ざんされるケース、運転手のなりすまし、運転手以外の外部の音声に反応してしまう、インフラがハッキングされるなどのリスクが挙げられました。
そして、国や自治体、関係団体などの「対外部」への対策、端末に関連する「対内部」の問題、どちらもに共通する「内外共通」の対策と3つの観点から以下の通りリスクへの対策を提言しました。
・内外共通
音声での命令に対する許可や、本人認証の仕様をしっかり考えること。
・対外部
仕様を標準化し、法整備を整える、クラウド連携における要件仕様が固めることを求める。
・対内部
命令の優先づけを様々なケースを想定して行うこと。
アクセンチュアからのコメント:
脅威を分析する際に「内部」「外部」のロケーションと情報セキュリティの三要素「機密性(Confidentiality)」「完全性(Integrity)」「可用性(availability)」をフレームワークとして整理していくのはコンサル的な思考だといえます。
しかし、そのフレームワークをお客様のテーマに合わせてどのようにテーラーメイドできるかが重要であり、「深く取り組む部分」と「一般論でさらっと流す部分」に分けるのがコンサルの腕の見せどころでもあります。具体的にどうすればいいのかをより深掘りすればさらによかったですね。
発表2 グループ3の提案
グループ3では、コネクテッド・ビークル自体を含むIoTデバイスのモニタリング及び制御について検討を進めました。
まずは機能を洗い出します。例えば、稼働状況を監視する機能、監視している家電の異常値を検知する機能、自宅とコネクテッド・ビークルを接続する機能です。これらの各機能に対して「漏洩」「改ざん」「サービスの停止」の観点から脅威を想定しました。
しかし、グループ3では、このやり方だけでは単なるセキュリティ対策とさほど変わらないと考えました。
そこで、自動車メーカー内の積極推進派に刺さる提案を目指し、「IoTデバイス自体がセキュリティ意識を高める自律システム」を提案。各IoTデバイスのログ分析を行うことで未知の脅威にも対応可能に実装します。ログ分析データはすべてクラウド上に集約し、ユーザーにはレポートを配信します。
さらに、実際にサイバー攻撃されてしまったときにも、コンサルなどのサービスを提供するべきだとまとめました。
アクセンチュアからのコメント:
プレゼンは結論からから入ること。「IoTデバイス自体がセキュリティ意識を高める自律システム」を提案する旨を冒頭に伝えるとなおよかったですね。
我々がコンサルワークするときも「なにを最終的なメッセージに置くのか」をまず持ってきます。その後で、それにひもづく細かいネタをつけて整理すると聞きやすくなると思います。
次のページ :
プレゼン後半戦!