　本来なら、端末がプラントのDCS（Distributed Control System）とつながっていて、乗っ取られると最悪の場合はプラントが暴走してしまうリスクがある時と、私たちが通常使用しているOAネットワークに接続するPC類とでは、被害の大きさ（OTリスク）が異なるため、必要な対策も違ってくる可能性がある。

　対策をすること自体が目的になってしまうと、そういった異なるリスクを考慮せずに、とても不均一でリスクにあまり対応していない対策が導入されてしまう。

　製造現場の方たちは業務に注力されているため、指示された内容に専従しがちで、それらが本当にビジネスリスクの低減につながっているのか、事業継続とどのように関係しているかまで、配慮が及ばないことが多い。

藤原　”対策をして終わり”となっていて、それが本当の目的にたどり着いていない、ということだ。

　極端な話をすると、マルウェアへの脆弱性そのものは、工場にとっては大事な話ではない。もちろん、それがきっかけで大きな被害が生まれるというのは間違いないが、それ自身がどのように生産活動に影響を与えるかどうかを見ることが大事だ。

　本当に起きてほしくないことにひも付けて対策をできるかどうかが、工場をサイバー攻撃から守ることに直結する。

製造業におけるビジネスリスク出所：フォーティネットジャパン

佐々木　そもそもセキュリティ対策以前に、本来やるべきことというのは、ビジネスリスクの低減のはず。ITやOTのセキュリティ対策もその一環だ。

　IT領域なら標的型攻撃による情報漏えいや、ランサムウェア感染による事業停止などがビジネスリスクとなる。

　OT領域とIT領域の最大の違いは、OT領域はフィジカル空間と接続しているということだ。そのため実際のビジネスリスクはIT領域と異なってくる。ただ、IT領域の人は普段、そこにいないから、OT領域のことがなかなか分からない。OT領域の人は、サイバーに関する点が抜けているだけで、普段から安全などのリスク低減に懸命に取り組んでいる。

　OTセキュリティもリスク低減の取り組みなのだから、どんなビジネスリスクがあるのかを考えることからスタートして、それをどうやって低減していくのかを1個1個考えていくアプローチが必要となる。

藤原　われわれも日々の活動で“これしか言っていない”というくらい大事な点だ。今の話を製造現場の人に伝えると、すごく納得してくれる。なぜかというと、彼らは普段から日々のリスク低減を意識している人たちだからだ。

対策が形骸化すれば脅威へのリスクになる

　　　　　　 1|2|3|4 次のページへ