情シス、工場、開発など部門ごとにセキュリティ基準がバラバラで、まるで社内に“治外法権”が存在している——。歴史ある大手製造業において、こうした縦割り組織の壁に悩む企業は決して少なくない。日本を代表するメーカーであるパナソニックグループも、かつては同様の課題に直面していた。

6月9日に開催されたWebセミナー「TECH+ フォーラム IT×OTセキュリティDays 2026 Jun. 事業を止めないセキュリティ OTセキュリティDay - 「なぜ」から考える脅威対策 -」に、パナソニック ホールディングス(HD)の松本哲也氏が登壇。IT・OT(製造システム)・IoT(製品)の3領域にまたがる組織の壁をいかにして打ち破り、グローバル規模のセキュリティ統括体制を築き上げたのか。自社の防御ノウハウを外販するまでに至った、同グループのサイバーセキュリティ戦略を語った。

縦割り体制の限界と「サイバーセキュリティ統括室」の誕生

パナソニックグループでは2019年度から、サイバー攻撃を全社重要リスクの1つに位置付けてきた。これに対応するため、社内の業務システムを守る「ITセキュリティ」を情報システム部門が、工場内の製造装置やシステムを守る「製造システムセキュリティ」を生産技術部門が、顧客に提供する商品・サービスを守る「製品セキュリティ」を製品セキュリティ部門が担当し、3部門が現場レベルで連携する体制を採っていた。

  • 2022年度までのパナソニックグループのサイバーセキュリティ対策の体制

    2022年度までのパナソニックグループのサイバーセキュリティ対策の体制

しかし、この体制には課題があった。グループ全体を統括する機能、すなわち役割と責任を持った組織や、共通のプロセス・運用、技術という観点が不足していたのだ。顧客からのセキュリティ監査では「グループ全体の最適化が不十分」と指摘され、社内からも「プロセスがバラバラでワンストップ対応ができない」という声があがっていた。経営層からも横串を通した活動を強く求められていたという。

この状況を打破すべく、2023年度より持株会社であるパナソニックHD内に3部門のCoE(Center of Excellence)として「サイバーセキュリティ統括室」を新設。あわせて、各事業会社にCxOクラスのサイバーセキュリティ統括責任者を設置して全社体制と密に連携させた。

  • 2023年度からのサイバーセキュリティ推進体制

    2023年度からのサイバーセキュリティ推進体制

統括室の役割について松本氏は、大型・複合型インシデント対応の一元化と、部門共通施策の策定を挙げる。

共通施策の1つが共通ルールの策定だ。「これまで社内でもセキュリティに関して“治外法権”があった。例えば工場は、イントラネットのなかにありながら、情報システムのルールではなく自分たちでルールをつくっていた」と同氏は振り返る。こうした状況を解消してグループとしてのルールとプロセスを適用し、「インシデント」といった用語の統一も進めた。

このほか、製品セキュリティ部門の技術者が異常監視やペネトレーションテストを担う内製化の推進、関連法令・制度への対応、OTセキュリティ分野のリソース不足への対応、セキュリティ技術の研究開発と事業創出なども統括室のミッションだ。現在は社内にとどまらず、ソフトウェアやサプライヤーを経由した不正侵入・事業停止・情報漏えいリスクを見据え、調達・物流部門とも連携してサプライチェーン全体へのガバナンス強化も進めている。

世界の工場を守る全社規程とFSOCの構築

世界に約300の工場を抱える同グループだが、OT領域でも大きなメスが入った。「イントラネットに存在する製造システムは、ITの全社ルールの順守を原則とする」と明文化したのだ。システムの特性上どうしてもルールを守れない場合のみ、「現場の責任者ではなく、工場長などの経営層がリスクを受容し、その場合でも最低限守るべき対策を規定する」という厳格な仕組みを設けた。

ファイアウォールによるOA・FAネットワークの分離を防御の基盤としつつ、対策の要となるのが、工場ネットワークを監視する「FSOC(Factory Security Operation Center)」の展開だ。FSOCは、工場ネットワークのスイッチにミラーポートを設定し、通信に影響を与えないパッシブモニタリングで監視する仕組みである。既知の脅威は市販のIDSで検知し、未知の脅威に備えてEdgeサーバにパケットデータを蓄積。SIEMに集約されたデータを、自社開発の攻撃検知・ログ分析の仕組みと組み合わせ、分析官が24時間365日体制で監視する。2023年度から約3年かけ、ITとOTの接続が進んだ約200の工場へグローバルに導入を完了した。

  • FSOCの構成

    FSOCの構成

監視体制もグローバルだ。日本は東京・大阪・福岡の拠点に加え、夜間・休日はベトナム拠点がカバーして24時間365日体制を実現。ログを国外に持ち出せない中国には独自拠点を設け、欧州・米国は各拠点で監視を実施しつつ、日本をハブとしてインシデント情報を共有している。

FSOCの提供機能はネットワーク監視・異常検知にとどまらず、導入前のリスクアセスメントから、インシデント発生時の復旧支援、OSINTなどの外部情報収集・展開まで、5つのサービスとして社内に提供されている。

製品セキュリティの知見を「xSOC」として事業化へ

ネットワーク家電黎明期の2003年から培われてきた「製品セキュリティ」の取り組みも強固だ。企画・設計段階からの脆弱性つくり込み防止と出荷審査による「リスクの最小化」と、PSIRT(Product Security Incident Response Team)が主導する出荷後の「インシデント対応」の二本柱で構成される。

これらを担う製品セキュリティセンターの源流は2000年以前に遡る。ソフトウェア・通信・暗号の技術者を擁していた同社は、2003年にR&D部門の一部署としてネットワーク接続検証とセキュリティ診断を開始。2009年に品質部門へ移管され、2010年には国内でも早期にPSIRTを設立した。2016年には、ガバナンスや人材育成、技術開発まで機能を拡充した「製品セキュリティセンター」が発足している。

  • 製品セキュリティセンターの沿革と業務内容

    製品セキュリティセンターの沿革と業務内容

セキュリティ診断の昨年度実績は約300件。組み込み機器やWebアプリ、スマホアプリの脆弱性診断に加え、脅威分析やペネトレーションテスト、JC-STAR取得支援なども手がける。人材育成では製品セキュリティのスキル認定制度を確立し、グローバルで8000名以上を認定した。

また、家電のショールームを模した独自のハニーポットを仕掛け、IoT機器を狙うサイバー攻撃をリアルタイムに観測。得られた脅威インテリジェンスは、機器に組み込む防御モジュールの開発などに直結している。

さらに注目すべきは、製品セキュリティやFSOCで培った高度な技術と運用ノウハウの外販だ。現在、同社はこれらの知見を「xSOC」へと昇華させ、ビルセキュリティ、エネルギーマネジメントシステム(EMS)、車載セキュリティ、さらには他社工場向けへとサービスの提供領域を広げている。

縦割りだった組織体制を打破し、「サイバーセキュリティ統括室」という強力な司令塔を設置したパナソニックグループ。IT、OT、IoTそれぞれの知見を有機的に結び付けることで、社内の“治外法権”を解消し、真のグループ全体最適を実現しつつある。事業の継続性を確保し、サプライチェーン全体の安全性を高めるためのパナソニックグループの挑戦に、今後も注目が集まる。