　経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」（以下、工場セキュリティガイドライン）を2022年11月に発表したのに続き、同ガイドラインの【別冊：スマート化を進める上でのポイント】（以下、別冊）を2024年4月に公開した。これらを策定した狙いはどこにあるのか、経済産業省商務情報政策局サイバーセキュリティ課課長補佐の加藤優一氏に話を聞いた。

工場の他、宇宙や自動車、スマートホーム、ビルなどにガイドラインが

経済産業省の加藤氏

MONOist　サイバーセキュリティに対する経済産業省の政策の全体像を教えてください。

加藤氏　経済産業省では、産業界を代表する経営者や有識者らで構成される産業サイバーセキュリティ研究会での議論も踏まえ、サプライチェーン全体での対策強化、国際連携を意識した認証、評価制度の立ち上げ、政府全体でのサイバーセキュリティ対応体制の強化、新たな攻撃を防ぎ、守るための研究開発の促進という4つの柱の下、産業界におけるサイバーセキュリティ対策を進めている。

経済産業省におけるサイバーセキュリティ政策の全体像［クリックで拡大］出所：経済産業省

　ガイドラインの整備は、サプライチェーン全体での対策強化に含まれる。工場以外にも、既に宇宙やスマートホーム、自動車、ビルといった分野別だけでなく、中小企業向けにもガイドラインを策定している。

　製造業には、海外にも製造拠点を構えている企業がある。現地の担当者にも読んでいただくため、英語版の工場セキュリティガイドラインおよび別冊も公開している。

これまでに整備されたガイドラインやフレームワーク［クリックで拡大］出所：経済産業省

　工場のネットワークはこれまで内部で閉じられていたが、IoT（モノのインターネット）化やクラウド活用の進展とともに外部のネットワークとのつながりが増えてきている。ただ、長く使っている機器、システムには脆弱性を抱えたままのケースもある。

　攻撃者側はランサムウェアなどを広くばらまき、感染したところに金銭を要求する。たまたま攻撃されることもあり、本当に誰でも被害を受けてしまう可能性がある。

　工場の生産が止まってしまえば、製造業は事業が成り立たなくなる。攻撃者側からしても脅しがいがあり、要求すれば金銭を払ってくれる可能性が高いと思われてしまいがちだ。製造業においても、より一層、サイバーセキュリティの重要性が高まっている。

ITとOTが歩み寄る参考書としてのガイドライン

MONOist　改めて工場セキュリティガイドライン策定の狙いとは。

加藤氏　単にサイバーセキュリティの重要性を訴えるだけでは、具体的なアクションにつながりにくい。やはりテキストとして読める形で提示するものが必要となる。

　そういったガイドラインの作成などを目的に、産業サイバーセキュリティ研究会のワーキンググループとして工場サブワーキンググループが立ち上がった。

　製造業と一言でいっても、自動車を作っていたり、医薬品を作っていたり、食品を作っていたりとさまざまな業種がある。ITセキュリティは割と標準化しやすく、そういったチェックリストも存在してるが、OT（Operational Technology）は幅広い業種の工場があって、統一的な標準を作るというのはなかなか難しい。そこで、工場セキュリティガイドラインや別冊はいわば“参考書”として作っている。