2024.03.29 (Fri)
ICTで製造業はどのように変わるのか(第48回)
OTセキュリティ強化の必読書、経産省発行のガイドラインを読み解く
経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」をご存じでしょうか? OTセキュリティ強化に向けた指針や、参照するべき情報が網羅的に整理されており “OTセキュリティの手引書”といえる内容になっています。本記事では「製造業へのサイバー攻撃のニュースが気にかかる」「経営層や取引先からセキュリティ強化を要請されるようになった」という際に、把握しておきたい概要を同ガイドラインから紹介します。
想定工場のユースケースから、自社の弱点を発見できる
経済産業省は、2017年12月27日に「産業サイバーセキュリティ研究会」を発足しました。目的は、日本国内の産業界が直面するサイバーセキュリティの課題への対応策を練ることです。その取り組みの中で、ワーキンググループのひとつである「工場SWG」が2022年11月にまとめたのが「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」です。
このガイドラインのポイントは、業界団体や企業が「自らセキュリティ対策を企画・実行する」ために、参照すべき考え方やステップを手引きとして掲載していることです。同ガイドラインでは、⼯場が外部ネットワークに接続する機会が増えたことで「いかなる⼯場においてもサイバー攻撃を受ける可能性がある」と述べており、脅威に対して、団体や企業が自力でセキュリティ対策をしていく際に、最低限必要だと考えられる項目について、かみ砕いて説明されています。
例えば、ユースケースによる解説です。製造業のシステム構成は企業によってさまざまですが、同ガイドラインでは、多くの製造業で採用されているシステム構成を、最大公約数的にとりまとめた想定工場を設定して記載しています。
ガイドラインで想定する企業のシステム構成例
(出典:経済産業省:「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」)
上記の想定工場においては、ネットワークはOA業務の端末が接続される「情報系ネットワーク」と、生産管理を行うサーバーが接続される「生産管理系ネットワーク」、生産設備が接続される「設備系ネットワーク」に大別されています。さらに、それぞれのネットワークを「ゾーン」として分類。生産管理や状況監視、リモートメンテナンスなど、各ゾーンで生じるリスクのシナリオとその対策について言及する体裁となっています。
このシステムで管理されている設備や想定業務・データは以下のとおりです。
ガイドラインで想定する企業のシステム構成要素と想定業務・想定データ
(出典:経済産業省:「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」)
このようなユースケースによって、各企業は「自社にも当てはまる箇所」を発見し、必要な対策を検討できるようになっています。もちろん、想定例に自社が当てはまらないからといってセキュリティ対策が不要になるわけではありません。ガイドラインでは、具体例を記載することで、「抽象的なモデルから具体的な対策を立案するアプローチではなく、現場の業務や保護対象から立脚し、工場の機器やシステムを大きな括りの概念として俯瞰的に捉えるためのゾーンを設定し、セキュリティ対策を立案するアプローチを提示している」と述べています。
OTセキュリティ対策には、3つのステップが必要
同ガイドラインでは、OTセキュリティ対策の進め方を3つのステップに分けて示しています。その要点を紹介します。
・ステップ1 内外要件や業務、保護対象などの整理
具体的には、まずセキュリティ対策を施す工場についての経営目標を整理します。特に、事業継続の観点では、事業継続計画(BCP)の策定が重要とされています。
「外部要件」としては、⼯場のセキュリティ対策に関わる法規制・標準規格・ガイドライン準拠や、ステークホルダーである国や⾃治体、市場や顧客、取引先や出資者などからの要求などの整理が含まれます。
「内的要件」としては、システム、運⽤・管理などにおける現状整理とともに、OTセキュリティの運用・管理を工場システムの計画部門が実施するケース、IT関係部門、リスク管理部門、セキュリティ統括組織が実施するケースを想定し、それぞれのメリット・デメリットを提示しています。
このほか、工場システムが日々の業務でどのように使われているかを洗い出す「業務整理」によって、「業務の重要度の設定」「保護対象となる業務の整理」「保護対象におけるセキュリティ対策の重要度の設定」「同等の水準のセキュリティ対策が求められる領域(ゾーン)の整理」などを行うことを提言しています。
・ステップ2 セキュリティ対策の立案
ステップ1で整理したゾーン、保護対象、業務、脅威、影響を、実際のセキュリティ対策を結びつけます。ここでは、自社や業界を取り巻く環境やセキュリティ対策にかけるコストなど、実情に合わせて対策を企画・実行することになります。
システム構成だけでなく、物理的に想定される脅威やリスクも含めて対策を講じることが重要となります。物理面での対策について同ガイドラインでは、「生産設備・制御システム等を物理的に守るもので、建物の構造、防火・防水の強化や、電源設備・制御システムの施錠管理、入退室管理、バックアップなど」に言及しています。
・ステップ3 セキュリティ対策の実行および計画・対策・運用体制の不断の見直し
ステップ2で立案したセキュリティ対策の実施に加え、「ライフサイクルでの対策」、「サプライチェーンを考慮した対策」を行います。
ライフサイクルでの対策では、2つの視点が求められています。1つは、サイバー攻撃の早期認識と対処(OODAプロセス)やセキュリティ管理(ID/パスワード管理、機器の設定変更など)、脅威の情報共有を含む「運用・管理面のセキュリティ対策」です。もう1つは、工場システムを取り巻く環境の変化に合わせて対策を見直し更新していく「維持・改善面のセキュリティ対策」です。
サプライチェーンを考慮した対策とは、自社だけでなく、製品・部品購入、業務委託、システム開発委託、システム連携など、他社と自社が接触する際に生じうるリスクの把握や対策を行うことです。
同ガイドラインでは、セキュリティ対策は「導入したら終わり」ではなく、事業や環境、技術の変化などに応じて計画・対策・運用状況を見直し、必要に応じてステップ1から改めて取り組みを進める必要があることを述べています。
外部専門家による、セキュリティ診断の活用も有効
同ガイドラインでは、製造業がOTセキュリティを高めるために有益な情報を多数取り上げていますが「自社のセキュリティ実態を、自社のみで把握することが難しい」と感じるケースもあるでしょう。そのような場合には、外部専門家の知見を活用するのも有効です。
例えば、NTT東日本ではセキュリティコンサルティングの一環として、同ガイドラインをベースとした、工場リスクアセスメントの「簡易Web診断」を提案しています。この診断では、Web上で「組織的対策」「運用的対策」「技術的対策」「サプライチェーン管理」の4つの観点から、セキュリティ対策の実態を4段階で評価。もし、セキュリティ対策が不十分であるという評価が出た場合には、専門のコンサルタントが検討・対策すべきセキュリティ対策の立案をサポートします。ご興味のある方は、ご活用ください。
連載記事一覧
- 第1回 製造業におけるDX(デジタルトランスフォーメーション)の必要性とは?事例も合わせて紹介 2022.03.04 (Fri)
- 第2回 製造業における機械学習の事例および活用可能な機械学習技術について解説 2022.03.04 (Fri)
- 第3回 工場のスマートファクトリー化を進める課題とは何か 2022.03.04 (Fri)
- 第4回 ローカル5Gとは? 工場で導入する方法や事例を解説 2022.03.04 (Fri)
- 第5回 ファクトリーオートメーション(工場の自動化)とは?今後はどうなる? 2022.03.04 (Fri)
- 第6回 スマートファクトリーの土台となる工場のネットワークとは? 2022.03.04 (Fri)
- 第7回 ファクトリーオートメーションの事例や企業、今後とは? 2022.03.04 (Fri)
- 第8回 2021年6月より義務化! 食品事業者が知っておくべきHACCPの基本と事例を紹介 2022.03.04 (Fri)
- 第9回 製造業で注目を集めている「Anywhere Operations」とは?概要などについて解説 2022.03.04 (Fri)
- 第10回 製造業における情報セキュリティリスクの高まりとその対策方法 2022.03.04 (Fri)
- 第11回 製品開発のDX化のカギを握るCAE解析とは? 2022.03.04 (Fri)
- 第12回 製造業で導入が始まっているデジタルツインとは 2022.03.04 (Fri)
- 第13回 インダストリー4.0とは?概要や課題、事例などを紹介 2022.03.04 (Fri)
- 第14回 製造プロセスの最適化が期待できるPLMソリューションとは 2022.03.04 (Fri)
- 第16回 製造業を取り巻く現状と考えられる課題とは? その対策についても解説2023.01.30 (Mon)
- 第18回 工場を見える化するには? メリットや具体的な方法を紹介2023.01.30 (Mon)
- 第19回 製造業におけるヒューマンエラー対策とは? エラーが起こる原因も解説2023.01.30 (Mon)
- 第25回 製造業の今後は? 現状の課題や生き残るための手段を解説2023.01.30 (Mon)
- 第42回 事例から学ぶ、被害最大の「製造業」ランサムウェア対応2024.03.29 (Fri)
- 第43回 【用語解説】製造業が必ず押さえたい3つのセキュリティトレンド2024.03.29 (Fri)
- 第44回 工場停止で数千万の損害も、製造業に"すぐ必要"なサイバー攻撃対策とリスクアセスメント診断2024.03.29 (Fri)
- 第45回 自社だけ万全でも意味がない、サプライチェーン攻撃を防ぐには2024.03.29 (Fri)
- 第46回 ITとの違いから学ぶ、OTセキュリティ強化で知るべきポイント2024.03.29 (Fri)
- 第20回 製造業における品質管理の重要性とは? 品質対策のポイントも解説2023.01.30 (Mon)
- 第47回 突然、取引停止?工場セキュリティ未対策のリスク2024.03.29 (Fri)
- 第48回 OTセキュリティ強化の必読書、経産省発行のガイドラインを読み解く2024.03.29 (Fri)
- 第49回 製造業にも遵守義務、EUサイバーレジリエンス法とは?2024.03.29 (Fri)
- 第50回 ゼロからはじめる工場のセキュリティ対策2024.03.29 (Fri)
- 第21回 トレーサビリティとは? 種類や製造業におけるメリットを解説2023.01.30 (Mon)
- 第23回 工場に求められる安全対策とは?その重要性と対策のポイントを紹介2023.01.30 (Mon)
- 第27回 工場を見える化することで得られるメリットは? 具体的な導入の流れも解説2023.01.30 (Mon)
- 第28回 工場の省人化とは? 実現するための具体的な方法を解説2023.01.30 (Mon)
- 第31回 生産管理とは? 目的や内容からシステムの選び方までわかりやすく解説2023.01.30 (Mon)
- 第32回 製造業の生産性を向上させるメリットやその際の着目ポイントなどを解説2023.01.30 (Mon)
- 第30回 製造業で品質向上をめざすには? 解決すべき課題について解説2023.01.30 (Mon)
- 第33回 生産管理が属人化する理由とは? 解消方法と標準化するメリットを解説2023.01.30 (Mon)
- 第35回 製造業におけるコスト削減のポイントとは? 具体例や今後の動向を解説2023.01.30 (Mon)
- 第37回 製造業における働き方改革とは? メリットや成功のポイントを解説2023.01.30 (Mon)
- 第36回 SCMとは? メリット・デメリットやERPとの違いについて解説2023.01.30 (Mon)
- 第38回 【製造業向け】RPA導入のメリットや注意点とは?2023.01.30 (Mon)
- 第29回 工場にAIを導入するメリット・デメリット、失敗するケースを解説2023.01.30 (Mon)
- 第34回 QCDとは? 生産管理の考え方やQCDの改善法について解説2023.01.30 (Mon)
- 第15回 工場の改善アイデア・事例5選! 業務改善を成功させるコツや実施手順も紹介2023.01.30 (Mon)
- 第17回 製造業のヒヤリハット事例5選 報告書の書き方や対策の進め方2023.01.30 (Mon)
- 第22回 製造業にIoTを導入するメリットとは? 事例や課題を解説2023.01.30 (Mon)
- 第24回 生産管理はAIでどう変わる? 製造業におけるAIの活用事例を紹介2023.01.30 (Mon)
- 第26回 工場は深刻な人手不足。その原因と5つの対策法とは2023.01.30 (Mon)
- 第39回 増えている製造業へのサイバー攻撃! 理由や対策法を徹底解説2023.02.15 (Wed)
- 第40回 工場の現場をペーパーレス化するメリットとは? 導入ステップやツールを紹介2023.02.15 (Wed)
- 第41回 多能工化とは何か? メリット・デメリットと失敗しない進め方を解説2023.02.15 (Wed)
