世界中から狙われる日本のスマート工場、億単位の損失から工場を守る方法とは：モノづくり現場の未来予想図（1/2 ページ）

本連載では、Schneider Electric（シュナイダーエレクトリック）インダストリー事業部 バイスプレジデントの角田裕也氏が、製造業で起きている変化をグローバルな視点で紹介しながら、製造現場の将来像を考察する。今回はサイバーセキュリティについて取り上げる。

[シュナイダーエレクトリック／角田裕也，MONOist]

　ライトハウスの認証取得に限らず、スマート工場を構築する上では、さまざまな生産設備やサプライチェーンをネットワークでつなげるデータの見える化が必須になる。だが、そこには大きなリスクが立ちはだかっている。それが、ネットワークの脆弱性を突いて工場内のネットワークやシステムに侵入するサイバー攻撃だ。

　実際に、この数年でさまざまな業種の工場がランサムウェアによる攻撃を受け、稼働停止などの大きな被害に遭ったというニュースが目立つ。今回は、今すぐ取り組むべき、スマート工場のサイバーセキュリティ対策について紹介したい。

⇒これまでの連載記事はこちら

スマート工場に求められるサイバーセキュリティ対策

　サイバー攻撃は世界規模で起きている。日本でも2022年にトヨタ自動車に部品を供給していた小島プレス工業がランサムウェア攻撃を受けたことで、トヨタ自動車の国内14工場28ラインの稼働がストップする事態に陥るなど、大きな損害を被った。このように、日本の工場もサイバー攻撃に狙われやすい状況になっており、今後この傾向はますます進むだろう。

　これまで日本の工場は、外部とネットワーク接続しないクローズドな環境で稼働していることがほとんどだったため、外部からの侵入は物理的な対策を施していればよかった。機器が古くてもきちんと機能していれば問題はなく、PCなどのバージョン管理なども必要とされなかった。筆者の主観になるが、規模に関わらず、日本中のほとんどの工場がそのような状況だという感覚だ。

　しかし、スマート工場を構築するためには、さまざまな機器がネットワークにつながっていることが大前提となり、さらに外部のクラウドにも接続する必要がある。そうなると、外から侵入可能なドアができた状態となるわけで、適切に鍵を掛けなければならなくなる。

　にもかかわらず、セキュリティ対策は日本では後回しにされてきた。サイバーセキュリティの重要性を認識している経営者がいる日本の工場でも、いまだに調査中の段階だったり、これからPoC（概念実証）を進めていくつもりだったりで、具体的なオペレーション段階に至っていない企業がほとんどのようだ。

ITとOT、部門間で異なるサイバーセキュリティの捉え方

　なぜここまで、スマート工場で必須要件であるサイバーセキュリティが後回しにされてしまうのか。ここには、ITとOT（Operational Technology）の間の分断と、意思決定のプロセスに原因があると考えられる。

　そもそも、OTの現場には、サイバーセキュリティに特化した専門知識を持つ人は少ない。もし、IT部門にサイバーセキュリティのエキスパートがいれば、その人をベースにネットワークを構築する方法もあるだろう。しかしながら、IT環境とOT環境では、セキュリティに関する考え方の前提が異なる。

　ITのセキュリティは、とにかく安全にシステムや情報を守ることを優先し、守備をしっかりと固めていく。それによって、ハードウェア間の接続にも制限がかけられることもある。

　もちろん、OTにおいても守備を固めることは重要だが、あまり固めすぎると生産ラインや製造設備間の情報流通が滞ってしまい、品質保証や納品期限に影響を与えることにもなりかねない。

　また、経営者目線で考えると、どうしてもサイバーセキュリティ対策の投資効果に目がいってしまう。本来、サイバーセキュリティ対策は保険のようなものなので、短期的に利益を回収するというより長期的な先行投資の意味が大きい。そこに優先順位を付けて大きな予算を投資することは経営者レベルでも難しいだろう。

　サイバーセキュリティ対策は現場からのボトムアップではなく、経営者のトップダウンで進めるべき課題だ。トップがこのテーマに危機感を持ち、適切な投資の判断ができるかどうかにかかっているといえる（図1）。

図1 OTの現場が抱えるサイバーセキュリティの課題［クリックで拡大］出所：シュナイダーエレクトリック