冴えない工場セキュリティガイドラインの育てかた：事例で学ぶ製造業DXセキュリティ対策入門（4）（2/4 ページ）

[佐々木弘志，MONOist]

※本記事はアフィリエイトプログラムによる収益を得ています

セキュリティガイドラインの沼

なるほど、確かにそれは難問だね。何かトライしてみたことはあるの？

はい、工場向けのセキュリティ対策のガイドラインや、他社はどうしているのかについて調べたりしました。

なるほど、世の中で私たちが初めてやることじゃないのだから、外に情報があるだろうと。確か、有名な一般制御システム向けのガイドラインもあったよね。

はい、IEC 62443と呼ばれる国際標準がありまして、工場向けのセキュリティ対策については、セキュリティ管理から工場ネットワークの対策まで、網羅的に書かれていたので大変参考になりました。

ふむふむ。よく調べて勉強しているじゃない。IEC 62443は確かに国際標準でもあるし、プラント業界を中心に広く使われているらしいね。

はい、なので、そのガイドラインの要求項目をベースに、セキュリティ対策を整理してみたのですが、どうもしっくりこないです。

ほう、具体的には何がしっくりこないの？

例えば、ガイドラインには「制御システムに対する悪意あるコードを防御しなさい」と書かれているのですが、私たちのシステム内での具体的な適用場所や、ソリューションについては書いていません。

そりゃ、ガイドライン作った人は、私たちのシステムのことを知らないし、実現のためのソリューションは幅広くあるから、それは当然の話だよね。

はい、それはそうなのですが、ネットワークで防御するのか、それぞれの端末で防御するのか、端末でやるとしたら、うちの工場だとサポート切れのOSがあってウイルス対策の導入が難しいとか、いろいろ制限がある中で、書いてある通りにはいかなくて。

まあ、うち特有の事情があるからね。

他社事例を見ても同様でして。「IEC 62443対応できました」みたいな資料もあるのですが、なんかうそくさいというか、理想的すぎて、うちの工場には適用できないなと感じるものばかりです。どこかに正解があると思うのですが。

なるほど、青井さんは「ガイドラインの沼」にはまってしまった状態だね。

　沼……。確かに、考えても、考えても、作業ばかりが増えて、かえって正解が分からなくなっていく今の状況は、沼だな。心なしか課長がうれしそうに見えるのは気のせいか。