経済産業省は工場セキュリティガイドラインを2022年11月に発表したのに続き、同ガイドラインの【別冊:スマート化を進める上でのポイント】を2024年4月に公開した。これらを策定した狙いはどこにあるのか、経済産業省に聞いた。
経済産業省は「工場システムにおける サイバー・フィジカル・セキュリティ対策ガイドライン」(以下、工場セキュリティガイドライン)を2022年11月に発表したのに続き、同ガイドラインの【別冊:スマート化を進める上でのポイント】(以下、別冊)を2024年4月に公開した。これらを策定した狙いはどこにあるのか、経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐の加藤優一氏に話を聞いた。
MONOist サイバーセキュリティに対する経済産業省の政策の全体像を教えてください。
加藤氏 経済産業省では、産業界を代表する経営者や有識者らで構成される産業サイバーセキュリティ研究会での議論も踏まえ、サプライチェーン全体での対策強化、国際連携を意識した認証、評価制度の立ち上げ、政府全体でのサイバーセキュリティ対応体制の強化、新たな攻撃を防ぎ、守るための研究開発の促進という4つの柱の下、産業界におけるサイバーセキュリティ対策を進めている。
ガイドラインの整備は、サプライチェーン全体での対策強化に含まれる。工場以外にも、既に宇宙やスマートホーム、自動車、ビルといった分野別だけでなく、中小企業向けにもガイドラインを策定している。
製造業には、海外にも製造拠点を構えている企業がある。現地の担当者にも読んでいただくため、英語版の工場セキュリティガイドラインおよび別冊も公開している。
工場のネットワークはこれまで内部で閉じられていたが、IoT(モノのインターネット)化やクラウド活用の進展とともに外部のネットワークとのつながりが増えてきている。ただ、長く使っている機器、システムには脆弱性を抱えたままのケースもある。
攻撃者側はランサムウェアなどを広くばらまき、感染したところに金銭を要求する。たまたま攻撃されることもあり、本当に誰でも被害を受けてしまう可能性がある。
工場の生産が止まってしまえば、製造業は事業が成り立たなくなる。攻撃者側からしても脅しがいがあり、要求すれば金銭を払ってくれる可能性が高いと思われてしまいがちだ。製造業においても、より一層、サイバーセキュリティの重要性が高まっている。
MONOist 改めて工場セキュリティガイドライン策定の狙いとは。
加藤氏 単にサイバーセキュリティの重要性を訴えるだけでは、具体的なアクションにつながりにくい。やはりテキストとして読める形で提示するものが必要となる。
そういったガイドラインの作成などを目的に、産業サイバーセキュリティ研究会のワーキンググループとして工場サブワーキンググループが立ち上がった。
製造業と一言でいっても、自動車を作っていたり、医薬品を作っていたり、食品を作っていたりとさまざまな業種がある。ITセキュリティは割と標準化しやすく、そういったチェックリストも存在してるが、OT(Operational Technology)は幅広い業種の工場があって、統一的な標準を作るというのはなかなか難しい。そこで、工場セキュリティガイドラインや別冊はいわば“参考書”として作っている。
現実として、企業のIT部門が工場のサイバーセキュリティ対策を進めようとすると、IT部門がOTを分かっていなかったり、OTを知る工場の現場側はITを分かっていなかったりして、取り組みがなかなか進まないという課題がある。
それに対して、工場セキュリティガイドラインはIT側とOT側の両者で読んで、お互いに歩み寄っていただけるよう、参考書として分かりやすく作っている。両者で互いの業務についてあまり詳しくない人から見たとしても、何から、どんな手順で進めればいいかが分かる資料になっている。
Copyright © ITmedia, Inc. All Rights Reserved.