2025 年 7 月 7 日
イスクロ・モロフ、GEA 最高情報セキュリティ責任者(画像提供元:GEA)
Iskro Mollov
GEA 最高情報セキュリティ責任者
Iskro Mollov (以下、IM):広義に言えば、情報セキュリティとは、企業の情報を保護することです。当然ながら、これにはデジタルデータも含まれます。これには、お客様、サプライヤー、ビジネスパートナーの機密情報のみならず、当社の知的財産、財務状況、および戦略的ポジショニング、従業員の個人情報などの情報が含まれます。この情報を保護することは、何よりもまず総合的なガバナンスの課題です。ハッキング攻撃を回避し、スパイ活動を防止し、規制や契約上のコンプライアンスを確保し、重要なシステムを保護し、あらゆる種類のビジネスの中断を防止することを目的としています。当社のステークホルダーは、情報セキュリティが確保されていることを正当に求めています。これは通常の業務の一環としてだけでなく、サイバー攻撃や自然災害のような特別な状況において特に重要です。
IM:GEAでは、会社のセキュリティリスクを理解するために、すべての分野と機能を包括的に分析しています。その分析結果に基づき、効果的で効率的なセキュリティ対策を実施しています。情報セキュリティは、特に情報技術(IT)、制御・運用技術(OT)、当社の製品および製品開発プロセス、インターネット上の存在、物理資産と施設、サプライヤー、人事などにおいて重要な役割を果たしています。特に重要なのは、セキュリティには大きな文化的要素も含まれていることです。真に安全な組織を築くためには、セキュリティが従業員一人ひとりの自然な習慣となるような文化を根付かせる必要があります。これは、役割に関係なく、すべての従業員がセキュリティを当然のこととして捉える文化を築くことを意味します。
IM:私には、相互に関連し合う3つの主要な責任があります。ひとつ目の責任は、GEAにおける情報セキュリティガバナンスを継続的に見直し、改善することです。私たちのチームでは、この目標を達成するために複数の取り組みを推進しています。これには、当社のグローバルな情報セキュリティ管理システム(ISMS)の運営、セキュリティ認証の取得とコンプライアンスの確保、セキュリティリスク管理の監督、従業員教育、IDとアクセス管理、セキュリティインシデント対応、パフォーマンス測定、監査、および侵入テストが含まれます。また、デジタルシステムと製品をシミュレートハッキング攻撃を介して、定期的にテストしています。
2つ目は、事業の継続性を確保することです。つまり、特別な状況下でもGEAを円滑に運営し続けることです。これには、当社の業務運営を妨げる可能性のあるさまざまな種類の障害に備えることが含まれます。例えば、ランサムウェア、製造やサプライチェーンの中断、自然災害、公共サービスの停止、社会不安、パンデミック、または法的問題などです。
3つ目は危機管理です。企業危機はさまざまな形態をとる可能性があり、新型コロナウイルス感染症の世界的な大流行や国際的な軍事紛争のために、過去にはほとんど発生していませんでした。私たちが真剣に準備を進めている関連するシナリオの一つは、もちろん、世界的に影響を及ぼすランサムウェア攻撃です。最終的に、危機管理は複雑でハードな作業であり、多くの異なる企業機能が関与する可能性があり、多大な調整が必要です。
IM:かなり多様性があると思います!当社の情報セキュリティ、事業継続管理、危機管理チームは、世界中から集まったさまざまな専門分野の背景を持つプロフェッショナルで構成されています。物理的セキュリティ、ITセキュリティ、OTセキュリティ、製品セキュリティ、事業継続管理、一般的なセキュリティガバナンス、リスク管理など、さまざまなセキュリティ分野の専門家がいます。教育背景も非常に多様で、工学、IT、経営管理などの学位を取得したメンバーがいます。
IM:情報セキュリティは、サポート機能から業界における競争優位性を提供する専門機能へと進化してきました。適切に実施されれば、優れた情報セキュリティガバナンスは新規ビジネス獲得の決定的な要因となる可能性があります。残念ながら、サイバーインシデントやスパイ活動は増加傾向にあります。例えば、2024年に世界中の企業の10社中9社が少なくとも1件のランサムウェア攻撃を経験しています。また、「サービスとして提供されるランサムウェア」のような現象は、わずか数ドルと最小限の労力で、潜在的に破壊的な攻撃を可能にします。機械工学やプロセス工学分野のほぼすべての企業、およびその他の多くの企業は、デジタル化による恩恵を享受するため、接続性、AI、クラウドベースのソリューションを適切に採用しています。欠点:これに伴い、攻撃対象領域が拡大しています。さらに、グローバルサプライチェーンはより脆弱になり、過去数年間で地政学的環境がより不安定になるのを私たちは皆見てきました。
また、規制環境もますます複雑化しています。EUのサイバーレジリエンス法やNIS2指令のような広範な規制は、プラントオペレーターとプラント建設業者を直接対象としています。GEAはその両方です。私たちは自社の施設を運営するだけでなく、お客様のためのプラントや機械の建設も行っています。これは、情報セキュリティの観点から見れば、当社にとって有利な組み合わせです。これにより、さまざまな業界の幅広い要件、可能性、潜在的な課題に関する包括的な実世界での経験を得ることができます。当社の独自の経験とノウハウを活かし、最新の規制要件に対応した、最先端で、しばしば高度にカスタマイズされた情報セキュリティソリューションを提供することができます。
IM:もちろんです。このトピックはますます関連性を増しています。これは、当社各部門および地域における営業部門の同僚から受け取るフィードバックに明確に反映されています。彼らは皆、お客様とのやり取りにおける情報セキュリティの重要性がますます高まっている点を強調しています。お客様はビジネスを成長させるために私たちの助けを必要としています。優れたセキュリティガバナンスを提供することは、お客様の信頼を築き、維持するための重要なポイントであり、GEAが新たなビジネスを獲得するのを可能にします。
IM:多くのお客様は、例えばISO/IEC 27001に準拠した認証を取得している企業と取引することを明確に好む傾向にあります。これは情報セキュリティ管理システムに関する国際規格です。これは、組織内の情報セキュリティのための包括的な管理システムを確立、実施、維持、そして継続的に改善するための要件を定めています。そして、ますます多くの企業にとって、これは必須の要件となっています。信頼性の高い認証は情報セキュリティの標準であり、GEAが維持する厳格な情報セキュリティ基準について、お客様に客観的かつ透明性の高い洞察を提供します。これらの認証は、主要な検査機関によってのみ独占的に付与され、当社の場合、ドイツのTÜV Rheinlandが該当します。
2021年、GEAは初めてISO/IEC 27001の包括的な認証を取得しました。この認証は年々拡大され、GEAの拠点や法人の数が増加してきました。2024年の最新の再認証では、ISO/IEC 27001規格の2022年版に準拠しており、世界中の53のGEA拠点におけるすべての事業活動をカバーしています。ISO/IEC 27001は、情報セキュリティ管理システムの主要な国際規格であり、業界全体で広く尊重されているため、これは重要な成果です。当社の製造拠点と製品開発プロセスは、産業用オートメーションと制御システムのセキュリティに関する主要な規格であるIEC 62443 2-1および4-1にも準拠しています。これらの認証はグループ全体をカバーする認証であり、毎年より多くの拠点を含め、拡大しています。
IM:私たちの目標は、GEAのグローバルセキュリティプログラムの一環として、2027年までにGEAの関連するすべてのサイトと製品でセキュリティ認証を取得することを目標としています。さらに、国際的なESG基準での評価をさらに向上させるために、2025年末までに従業員の75%以上を対象とした認証範囲の達成を目指しています。もう一つの重要な課題は、GEAをより差し迫った規制に備えることです。例えば、EUサイバーレジリエンス法(CRA)は、製造業者に対し、製品のライフサイクル全体にわたってサイバーセキュリティを考慮するよう義務付け、厳格な基準を適用し、広範な報告要件を伴うことになります。
しかし、これらの国際的な課題よりもさらに重要なのは、お客様をサポートし、より安全で、コンプライアンスに準拠し、将来に備えられるよう、お手伝いをすることです。そのため、一方では安全なGEA製品とデジタルサービスを提供し、他方ではGEAのサービスの一環として専用のセキュリティ製品とサービスを提供することで、例えばGEA Asset Careのようなソリューションを提供しています。
IM:それはシンプルです:GEAは、イノベーションと信頼を育むために、情報セキュリティガバナンスを継続的に強化することに取り組んでいます。エンジニアリングの卓越性に対する当社の評判と同様に、私たちは情報セキュリティにおける高い基準が、お客様がGEAを選ぶ主な理由となることを望んでいます。この分野で継続的に卓越性を追求する中で、当社が蓄積した深い専門知識を、他の業界を支援するために活用する可能性もあるでしょう。当社の事業における複雑さと、対応する法規制環境は、この点で当社を有利な立場に置いています。