製造業でもDXが進みスマート工場化が加速しているが、それに伴い工場のセキュリティ対策への注目度が高まっている。しかし、こうした重要性が幅広く認知されるようになっても、いまだに手つかずの状態で対策を打てていない企業も多い。このような状況において、どのような一手を打つべきなのだろうか。OT(制御技術)セキュリティの専門家にこの10年の歴史と今後の対策について話を聞いた。
労働力不足や新型コロナウイルス感染症(COVID-19)の影響によるリモートワークの拡大など、製造業でもDX(デジタルトランスフォーメーション)およびスマート工場化が加速している。ただ、ネットワーク接続や複数システムの連携などを前提としたこれらの取り組みは、そのメリットと引き換えに、マルウェアや不正アクセスといったサイバー攻撃のリスクを高めている。
閉鎖環境だった従来の工場ではサイバー攻撃の被害も限定的だったが、外部ネットワークとつながるようになり、直接的な被害を受けるリスクが飛躍的に高まっている。実際に国内外を問わず工場が稼働停止に陥る事態も相次いで起こっており、無視できない状況になりつつある。しかし、こうした環境の変化を受けてもなお、日本の製造業におけるOT(Operational Technology、制御技術)へのセキュリティ対応はあまり進んでいないのが実情だ。特に中小製造業の多くはセキュリティに関する技術者やノウハウも不足しており「何から手を付けていいのか分からない」というケースも散見される。
この中で製造業はどのようにOTセキュリティに向き合い、どのような取り組みを進めていくべきなのだろうか。OTセキュリティの専門家であるフォーティネットジャパン OTビジネス開発部 部長の佐々木弘志氏に、OTセキュリティの歴史を振り返ってもらうとともに、今とるべき対策について話を聞いた。佐々木氏は同職の他、経済産業省 商務情報政策局 情報セキュリティ対策専門官、情報処理推進機構(IPA)産業サイバーセキュリティセンター(ICSCoE)専門委員、名古屋工業大学 産学官金連携機構 ものづくりDX研究所 プロジェクト准教授など、OTセキュリティに関するさまざまな要職に就いている。
OTセキュリティの歴史は、2010年にイランの原子力施設が攻撃された「Stuxnet(スタックスネット)」から始まった。これはシーメンスのコントロールシステムを攻撃対象とし、原子力施設にある約1000台の遠心分離機に異常を生み出し、稼働できないようにしたとされる。それまでもサイバー攻撃によるOTシステムへの影響はないわけではなかったが、ITシステムを狙った流れ弾のようなものが多く、その意味でStuxnetはOTシステムを直接狙った初めての大規模な攻撃として大きな注目を集めた。これを機に2012年に日本でも制御システムセキュリテイセンター(CSSC)が設立され、国として電力、ガスや化学プラントなどの重要インフラのOTシステムに対するサイバーセキュリティ対策を研究する体制が構築された。
その後は大規模スポーツイベントの誘致成功などを皮切りに、2013年頃から重要インフラのセキュリティ対策を本格化する動きが進んだ。「過去にいくつかの世界的なスポーツイベントがサイバー攻撃に狙われた事例もあります。そのため、重要インフラのセキュリティ対策を進める動きが具体的に進みました。ここも大きな転機だったといえます」と佐々木氏は振り返る。
さらに最近では、さまざまなシステムや機器がネットワークでつながる時代の到来とともに、セキュリティの対象は個々の企業の防御からサプライチェーンのようにつながる世界を守る方向性へとシフトしてきた。
「サイバーセキュリティといえば、サイバー攻撃を防ぐ手段としての意味合いが強い言葉ですが、本来は、サイバー空間の安心や安全性を指す言葉です。さまざまなものがつながった結果、リスクがあちこちに遍在している状況が生まれています。そのため、対策を行っていない弱いシステムや機器がつながれば、つながっている世界そのものを危機に陥れることになります。こうした状況では、所定のルールに基づいたセキュリティ対策ができていなければ、ビジネスの場に参加すらできないというパラダイムシフトが起こりつつあります。つながる社会に参加する責任として、自分だけではなく相手も危険にさらさないためにセキュリティ対策が求められるようになっているのです」と佐々木氏はOTセキュリティの位置付けの変遷について語っている。
ただ、これまでの歩みのなかで「日本は重要インフラに関しては世界的にも高いレベルのセキュリティを構築してきた」と佐々木氏は指摘する。特に電力業界では、電気事業者が実施すべきセキュリティ対策の要求事項について規定した「電力制御システムセキュリティガイドライン」と「スマートメーターシステムセキュリティガイドライン」が制定され、2016年9月に電気事業法の技術基準にひも付けられるなどの動きがあった。「日本のOTセキュリティの歴史において、CSSCの発足からわずか4年で、電力インフラに関してのサイバーセキュリティ規制ができたことは、評価すべきポイントだと考えます」と佐々木氏は述べる。
一方で、このような取り組みはまだ他業界やサプライチェーン全体にまでは広がっていない。リスクに応じたセキュリティ対策を他の業界にも広げていくことが大きな課題となっている。こうした中で製造業のセキュリティ対策について佐々木氏は「全体が底上げされているのではなく、むしろ二極化しています」と危機感を示す。セキュリティ対策はリスク低減が目的となるため、そのリスクを認識している会社は次々に対策を深めていく。一方で、そもそものリスクをとらえ切れていない企業は、全く取り組まない状況が続くことになる。
この現状について佐々木氏は「セキュリティ対策という軸だけでなく、DXという軸と合わせて考えると見えてくるものもあります」と指摘する。DXについても全体最適で進めるには経営層のコミットメントが必要だという話が強調されるが、経営層が参画してさまざまな判断を行っている企業では、同時にセキュリティのリスクについても理解が進んでいる。一方で、個々の部門のみでさまざまなDXに取り組む企業では、生産性や付加価値のみに焦点が当てられており、セキュリティ対策まで考えているところは少ないとしている。
こうした状況を受け、佐々木氏は製造業でセキュリティ対策の進まない要因について「全てを現場に丸投げしていること」だと訴える。「セキュリティの問題を工場単位の個別最適で解決しようとしているところが最大の課題です。日本の製造業はこれまで“現場力”を強みに成長してきました。しかし、弱いところがあればそこを突破口に全体が脅かされるセキュリティの世界では、現場での部分最適のみでは解決できないことが多くあります。経営層が会社の課題として捉え、トップダウンで進めることが必要となるのです。現場に任せてしまうだけではいつまでも正しいセキュリティ対策を進めることはできません」(佐々木氏)。
OT領域でセキュリティ対策を進める中で「最適なソリューションがない」とする声もあるが、佐々木氏は「ソリューションがないからできないのではなく、ソリューションを導入するコストに対する経営判断、現場への説得ができていないことが本質です」と指摘する。
こうした課題を乗り越えるための考え方として、佐々木氏は2つのポイントを挙げる。1つ目は経営層がセキュリティの重要性を理解し、自社の経営問題として捉えられるよう意識変革を進めることだ。「今後、あらゆるものがデータでつながる世界が広がってきます。そうなればなるほど、企業が前向きに成長していくためにはセキュリティ対策が必須となってきます。つながらなければ成長できない世界で、つながるとリスクになるような存在では誰もつながってくれないためです。つながる社会に参加するための条件として、セキュリティ対策が必要だということを、経営層自身がしっかりと理解する必要があります。それがまずは最初の重要なステップになります」と佐々木氏は強調する。
そして2つ目は、現在自社で足りていないリソースを業界全体でシェアしていくという考え方だ。拡大し続けるOTセキュリティの領域では、これらをカバーするのに必要な人材やリソースが十分ではない場合も多い。こうした状況でも対策を進めていくためには、リソースを一部で抱え込むのではなく、シェアしていくという考えが必要になる。「例えば、中小企業ではセキュリティ対策を進めようと考えても『人のリソースも足りない』『ノウハウのリソースもない』場合もよくあります。こうしたリソースが不足している状況なのに、現状では個々の企業がそれぞれで努力をし、同じようなところでつまずいてしまうケースも多く見られます。これは日本全体として見た場合、大きなロスであり無駄なことだと考えます。業界内でアイデアや人材をシェアし、融通できるようにすることでこれらのリソース不足を軽減できます」と佐々木氏は、今後の方向性について語っている。
実際にフォーティネットでは、自社でのOTセキュリティ対策のソリューションを展開するだけでなく、こうした「リソースシェア」への取り組みを推進している。
各種セミナーやイベントでのノウハウの共有などを推進している他、Web上で工場の現状の対策で足りないものや、今後のあるべき姿を可視化できる無料の「工場向けサイバーセキュリティ簡易診断」を提供している。これは経済産業省主導で策定中の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(案)」の付録Eのチェックリストに準拠した約30項目からなるチェックシートで、早ければ15分で回答が可能だ。結果は対象となる工場システムの「組織」「運用」「技術」「工場資産のサプライチェーン管理」の4つの観点で、現状のセキュリティ対策がどの程度のレベルにあるかをA〜Dの4段階で直感的に可視化できるため、社内での経営層含めた関係者との現状認識に活用できる。
さらに今後は人的リソースやノウハウをシェアすることも計画しているという。「フォーティネットのパートナーと協力して、OT監視サービスの提供なども進めていきます。人的リソースが足りない現状のままでは、業界自体が立ち行かなくなる危機感があります。われわれがOTセキュリティに関するノウハウを積極的にシェアすることで、日本の業界全体を活性化する活動を進めていきます」(佐々木氏)。
フォーティネットではこうしたリソースシェアの考えの下、さまざまな段階の企業に向けたOTセキュリティの進め方やノウハウを伝える「Secure OT Summit 2022」を2022年9月7〜9日に開催する。DXやスマート工場化といった大きな流れの中で、これまで閉じていた工場が外部とつながることは必須となる。そのような状況において企業がビジネスを続けていくためにも、セキュリティ対策は待ったなしの状態である。今、OTセキュリティの最初の一手を打ちあぐねているのなら、まずはフォーティネットのイベントからそのヒントを得てみてはいかがだろうか。
フォーティネットは9月7〜9日まで「Secure OT Summit 2022〜明日から始めるOTセキュリティの第一歩〜」と題したオンラインイベントを開催します。工場や重要インフラのサイバーセキュリティの最前線で取り組む研究者や先駆的企業の担当者を招いて、各社の具体的な取り組みを紹介します。加えて「これからOTセキュリティ対策を担う企業は何から手をつければよいのか」という具体的な疑問を提示し、参加者が明日からすぐに始められるようなOTセキュリティの第一歩について議論していく予定です。
「やはり、多くの企業にとってOTセキュリティの取り組みは腰が重く『注視する』『要検討』という言葉をこれまで数多く聞いてきました。しかし今夏には、経済産業省から工場向けのセキュリティガイドラインが正式公開される予定もあり、もうそんなことを言っていられる状態ではありません。今やらなければ間に合わないのです。今回のイベントでは全ての登壇者に『明日からOTセキュリティを始めるとしたら、何から手を付ければいいか』を尋ねる予定です。それを皆さんに発信することで、業界のノウハウシェアにつなげられればと考えています」(佐々木氏)
イベントは、以下のWebサイトからお申し込み可能ですので、ぜひご参加ください。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:フォーティネットジャパン合同会社
アイティメディア営業企画/制作:MONOist 編集部/掲載内容有効期限:2022年9月7日