スマート工場におけるガイドライン別冊の活用ポイントと注意点：ビジネスリスクを見据えたOTセキュリティ対策とガイドライン活用のススメ（2）（1/3 ページ）

本稿では、近年増加するスマート化を進める工場が留意するポイントを、スマート工場向けのガイドラインをもとに解説します。

[佐々木弘志，MONOist]

　スマート化が進みサイバー脅威の入口が増加した工場において、国内外で増加するサイバーセキュリティ事故への対応が喫緊の課題となっています。

　本稿では、経済産業省が2024年に発表した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」の「別冊：スマート化を進める上でのポイント」が必要となった背景と、特に留意するポイントとして示された「ゾーン」と「サプライチェーン管理」について解説します。

スマート工場向けの別冊が必要となる背景

　近年、製造業において「スマート工場」と呼ばれる高度なデジタル化と自動化が進み、製造プロセスの効率性や柔軟性を向上させる取り組みが行われています。

　従来の製造工場では、制御システム（OT: Operational Technology）は外部ネットワークと隔離された閉じた環境として運用され、ITシステムと異なるセキュリティ対策が必要でした。

　しかし、工場のスマート化により、IoT（Internet of Things）デバイスやクラウドサービスが積極的に活用されるようになり、外部ネットワークとの接続が増加しています。これにより、サイバー空間との接点が増え、工場内のOTに対するサイバー攻撃のリスクが高まっています。

　また、業界ごとの工場関連の規制／ガイドライン策定が進み、工場のセキュリティ対策の対外的な説明責任が求められるようになってきました。一例として、半導体業界では、工場に装置やサービスを提供する装置サプライヤー、インテグレーターを対象としたセキュリティ規格「SEMI E187」が公表され、業界標準の調達要件となりつつあります。

　このような状況において、経済産業省が策定した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」に新たに追加された別冊では、スマート工場におけるセキュリティ対策の具体例や重要なポイントが提示されています。

　中でも、特に留意すべき点として、「ゾーンの設定」と「サプライチェーン管理の方法」が示されています。

ゾーンとは何か

　「ゾーン」とは、工場の業務内容や重要度が同等の範囲を区分し、同じレベルのセキュリティ対策を適用するための単位です。ガイドライン別冊では、工場内の業務内容に応じてゾーンを設定し、ゾーンごとのリスクを評価して適切な対策を講じることが推奨されています。

　例えば、製品の製造プロセスを直接担当するゾーン（制御ゾーン）と、事務作業が主となるOAゾーンでは、求められるセキュリティ対策の内容が異なります。

　制御ゾーンは、工場目標であるSEQCD（安心／安全＝Safety、環境＝Environment、品質＝Quality、コスト＝Cost、納期＝Delivery）の維持向上や、事業継続（BCP）の重要性が高い一方、OAゾーンでは外部ネットワークとの接続が多く、情報漏えいや改ざんなどデータに対するリスク管理が重要視されます。

　このように、ビジネスリスクに応じてゾーンを分けることで、適切なリスク低減のための対策を検討することができます。

　ゾーン設定には、物理的およびサイバー的な視点が必要です。スマート工場では、業務のデジタル化が進むことで、情報システムやデータの連携が行われるため、業務の内容が物理的に関係する場合に加え、データ連携によってサイバー空間での関連性も生まれます。このため、サイバー・フィジカルの双方でゾーンを検討することが必要です。

　また、ゾーンの境界にあたる部分（インタフェース）では、外部接続の管理や監視が重要となります。

　外部ネットワークへのアクセスが増加するスマート工場では、特にゾーン間での情報のやりとりが増えるため、境界でのアクセス制御や不正侵入検知の仕組みを整備し、セキュリティを強化することが重要です。

　工場システムにおいてゾーンのインタフェースを管理する最大の利点は、仮に1つのゾーンでマルウェア感染の事故が起こったとしても、他のゾーンへの感染拡大を防ぎ、マルウェアの封じ込めや復旧を行う範囲を限定することができます。

　すなわち、ゾーン分けは、予防だけでなく、スマート化によってサイバー事故が起こる前提で考えたときに、事故後のビジネスリスクを減らすことにも有効です。