工場セキュリティはこうすれば進められる! 今こそ取り組むための本質的考え方「いまさら聞けないOTセキュリティの進め方」プレビュー

工場へのサイバー攻撃が増加する中、いまだにセキュリティ対策をうまく進められていない“取り残された”製造業は、どう対策をしていくべきなのだろうか。本記事では、2025年9月4日(木)〜5日(金)に開催される「Secure OT Summit 2025」の鼎談「いまさら聞けないOTセキュリティの進め方」から、ポイントになる内容を一部先行して紹介する。

PR/MONOist
» 2025年07月29日 10時00分 公開
PR

 インフラや工場を狙ったサイバー攻撃のニュースが頻繁に報道されている。かつては遠い海の向こうの出来事と思われていたOT(Operational Technology、制御技術)システムへの攻撃が、深刻な影響を与えつつある。こうした状況を受け、本記事では、2025年9月4日(木)〜5日(金)に開催される「Secure OT Summit 2025」の鼎談「いまさら聞けないOTセキュリティの進め方」から、OTセキュリティを取り巻く現状と、今まさに求められる「進め方」の本質について、その一部を紹介する。

サプライチェーンと現場を揺るがすサイバー攻撃

 工場などOT領域を対象としたセキュリティ対策は、先行する企業が次々と対策を高度化させていく一方、全く対策ができていない企業が存在する二極化が顕著となっている。鼎談「いまさら聞けないOTセキュリティの進め方」では、その中で“対策が進んでいない企業”を対象とし、セキュリティ専門ライターの宮田健氏、長らくOTセキュリティを推進してきたフォーティネットジャパン OTビジネス開発部 部長の佐々木弘志氏、モノづくり現場の実情を見てきたMONOist 編集長の三島一孝の3者で、具体的な進め方について議論した。

photo セキュリティ専門ライターの宮田健氏

 まず、OTセキュリティを取り巻く環境について、宮田氏は過去の衝撃的な事件の数々を提示した。OTセキュリティが世界で最初に注目されたのは、2010年の「Stuxnet」事件だったとされている。イランの核燃料施設を標的としたマルウェアによる攻撃で、工場独自のプロトコルが使われるOT領域でも被害が発生し得ることが示されたためだ。しかし、当時は「海の向こうの話と捉えられがちでした」と宮田氏は述べる。

 しかし、2022年2月に日本の製造業の反応が大きく変化する事案が生まれる。トヨタ自動車のサプライヤーである小島プレス工業がランサムウェア攻撃を受け、その影響でトヨタ自動車の国内14工場が一時操業停止にいたったのだ。「この事例は、単一の企業への攻撃が、サプライチェーン全体、ひいては国全体の経済活動に甚大な影響を及ぼす現実を浮き彫りにしました」と宮田氏は語る。

 さらに、宮田氏は、製造業だけではなく日本の複数の病院がランサムウェアの被害に遭った事例や、海外出張中の従業員が拾ったUSBメモリからマルウェアに感染し、帰国後に組織ネットワーク内で被害が拡大した事例などを紹介した。サイバー攻撃がもはや特定の業種や大規模組織だけの問題ではないことが示された。「これらの事件は、既存のガイドラインや警告があっても、被害が止まらないという現実を突きつけています」(宮田氏)。

photo 日本のシステムを取り巻く問題[クリックで拡大] 提供:宮田氏

 このように被害が大きく拡大しているにもかかわらず、OTセキュリティ対策に全ての企業が積極的に取り組んでいるわけではない。こうした状況について、フォーティネットジャパンの佐々木弘志氏は「デジタル化が進みITとOTが密接につながり始めたにもかかわらず“自分たちは関係ない”という意識が根強かったことが大きいと感じています」と説明する。

photo フォーティネットジャパン OTビジネス開発部 部長の佐々木弘志氏

 これまでは工場など内部の環境に閉鎖され、外部ネットワークにつながっていなかったOTシステムは「サイバー攻撃は来ないもの」という前提で構築されてきた。しかし、デジタルトランスフォーメーション(DX)の流れの中で、公に(あるいはこっそりと)インターネットとの接続が進み、ITへの攻撃が結果的に工場停止につながる事態が頻発し始めた。「ここでようやくOT側にも、真剣に取り組まなければならないという意識が芽生え始めています」と佐々木氏は述べる。

 また、これまでは自社のリスクとして捉えられていたセキュリティが、サプライチェーン全体のリスクとして認識されるようになったことも大きな変化だ。佐々木氏は経済産業省で検討が進むサプライチェーンにおける企業のセキュリティ対策格付け制度(サプライチェーン強化に向けたセキュリティ対策評価制度構築)の例を挙げ「セキュリティ対策が、『単なるコスト』から『調達要件』へと位置付けが変化しつつあります」と強調する。

 さらに、OTセキュリティの推進を考える際に、よく「ITとOTの壁」が話題になる。IT部門はサイバーセキュリティの知識を持つものの現場の具体的なリスクを理解しにくく、OT部門は現場のリスク管理に長けているもののサイバーセキュリティの知識が不足しているという問題だ。

 しかし、宮田氏は「日本の製造業の人たちは人一倍安全や安定稼働への意識があり、知識さえ得れば、セキュリティにおいても世界トップレベルに行けます」と力説する。佐々木氏もまた、OT部門が持つ「5S」や「改善活動」といった既存の考え方が、リスク管理という観点で、実はセキュリティ対策の本質(例えばネットワークの整理・整頓、資産管理)と共通していることを示唆した。

「現場」を起点とした本質的アプローチへ

 では、実際にどのような考えでOTセキュリティ対策を進めていけばよいのだろうか。

 佐々木氏は、多くの企業が陥りがちな「ガイドラインや技術から入るアプローチ」ではなく、「現場のリスク」から逆算する考え方の重要性を強く訴える。サイバー攻撃の脅威から考えるのではなく「そもそも工場で何が起こってほしくないのか」という点から考えるのだ。安全性や品質、納期への影響といった“現場のゴール”を起点に、それを阻害するリスクを低減するために何が必要かというアプローチだ。そして、その影響を最小化するために「予防」と「事故発生時の対応」を検討するという流れだ。

 「現場の担当者にとって、ビジネスへ影響を与え得る項目は『SEQCD(安全性、環境、品質、コスト、納期)』に集約されます。しかし、これらに影響を与えるリスクの1つとして、サイバー攻撃が加わっていることに気がついていません。先ほどの事例を見ても、実際にサイバー攻撃が納期に影響を与えています。この関連性が分かると、もともと現場リスク要因に対して対策を進めてきた現場の担当者も、サイバー攻撃のリスクが自分ごととして理解できるようになります」と佐々木氏は説明する。

photo 工場システムのビジネスリスクのうち、サイバーセキュリティリスクをどう捉えていくか[クリックで拡大] 提供:フォーティネット

 特に注目すべきは、サイバー攻撃による工場停止が発生した際に、「いつまでに復旧しなければならないのか」という「許容停止時間」の概念だ。「例えば、あまり生産量のないラインのPCがサイバー攻撃で停止したところで、十分な在庫を抱えているのであれば、その在庫が尽きるまでに復旧できれば、停止による損失は発生するものの、顧客に迷惑を掛けることを防ぐことができます。全てのサイバー攻撃に対し、即時復旧を目指さなくてもよく、ビジネス的な優先度から判断すべきなのです」と佐々木氏は述べる。この概念は、対策の優先順位づけや投資判断の指針として極めて重要であり、現場の担当者が「自分ごと」としてセキュリティを捉えるための鍵となる。

 「現場リスクを起点に考えると、現場で日常的に取り組んでいる活動にサイバーセキュリティ対策も含めて考えなければならないことが理解しやすいのではないでしょうか。現場リスクは、現場の担当者しか分からない内容ですから、本来は現場が中心となって、セキュリティ対策を推進することが理想です」と佐々木氏は訴える。

photo サイバー脅威に限らず、製造業は事故が発生した際にビジネス損失を想定し、納期遅延などのリスクに発展する前に復旧を行ってきた[クリックで拡大] 提供:フォーティネット

セキュリティはDXを加速させる「チャンス」

photo 現場視点での質問を投げかけたMONOist 編集長の三島一孝

 セキュリティ対策は、時に現場のデジタル化を阻む「足かせ」のように感じられるかもしれない。しかし、今回の鼎談で提示された「現場リスク管理の一環としてのサイバーセキュリティ」という新たな視点、そして予防と事故対応の両輪で取り組むことで、セキュリティはむしろIoTデバイスの導入など、さらなるデジタル化を安心して進めるための「推進力」となる可能性が、示される内容となった。

 宮田氏は、IT、OTのみならず、セキュリティが組織や個人の垣根を越え、全ての人にとって「自分ごと」とすべき時代が来ていると訴えた。佐々木氏も、この鼎談を聞いた人に「職場やサプライチェーン全体にこの現場リスクを起点としたセキュリティの考え方を少しでも話してほしいです」とエールを送った。

 「OTセキュリティ」という言葉に、漠然とした難しさや遠さを感じていた方も、この議論を通じて、その本質が「当たり前の現場のリスク管理」と地続きであることに気が付くきっかけとなるのではないだろうか。

 この記事では紹介しきれていないが、鼎談では、「ガイドラインに固執する必要はない」や「チェックリストはその実施がゴールではなく、現状把握のためのツールなのでC、D判定も当たり前」「ガイドラインやチェックリストは“きっかけ”」「全てを予測して予防することは不可能」「全てをサイバーセキュリティ対策でなんとかする必要はない」など、印象的な数々の発言があった。いずれの発言も今までOTセキュリティ対策に自信がなかった企業でも、自信を持って一歩踏み出すことを後押しする内容となっているので、気になった方は、ぜひ2025年9月4日(木)〜5日(金)の本番配信をご覧いただきたい。

「Secure OT Summit 2025」で鼎談本編をご覧ください!

 フォーティネットでは、2025年9月4日(木)〜5日(金)にオンラインセミナー「Secure OT Summit 2025」を開催します。工場や重要インフラのサイバーセキュリティの最前線で取り組む研究者や先駆的企業の担当者を招いて、各社の具体的な取り組みを紹介します。

 本稿で紹介した鼎談もそのプログラムの1つとして配信されます。本記事の内容をより詳しく議論していますので、ぜひご参加いただければと思います。イベントは、以下のWebサイトからお申し込み可能です。

photo [クリックで申し込みサイトへ]

Copyright © ITmedia, Inc. All Rights Reserved.


提供:フォーティネットジャパン合同会社
アイティメディア営業企画/制作:MONOist 編集部/掲載内容有効期限:2025年8月22日