　そこで、この「セキュリティ・バイ・デザイン」の思想を土台としながら、防御だけでなく「回復と適応」までをスコープに収めた、より動的な能力へと進化させる必要があります。そのための具体的な方法論こそが、「レジリエンス・バイ・インテグレート」、すなわち「技術」「人」「組織」の全方位統合なのです。

レジリエンス・バイ・インテグレートでは防御だけでなく、回復と適応を図る［クリックで拡大］

【技術の統合】多層防御による「事業継続」へのシフト

　堅牢なセキュリティ機能を実現するための基本戦略は技術の統合である「多層防御（Defense-in-Depth）」です。これは、単一のセキュリティ対策では防ぎきれない攻撃に対応するための戦略であり、複数の防御層を設けることで1つの層が突破されても他の層で攻撃を検知、阻止し、被害を最小限に抑えることを目指します。

　この多層防御をOT／IACS（産業用オートメーションおよび制御システム）環境で実践するための具体的な第一歩が、システムの「ゾーン＆コンジット」設計です。IACS全体を機能やリスクに応じてゾーンに分割し、ゾーン間を結ぶ通信経路（コンジット）を厳密に管理することで、万が一攻撃を受けても被害を局所化します。

　しかし、真の技術統合はさらにその先、「いかに事業影響を最小化し、安全に操業を継続／復旧させるか」を設計することにあります。

　具体的には、システム全体が停止するのではなく、安全を確保した上で限定的に稼働を続ける「縮退動作」や、定められた手順で速やかに生産を再開する「回復動作」をあらかじめシステムに組み込みます。これらは、制御システムの振る舞いを熟知していなければ設計できない、動的な回復基盤です。

ゾーン＆コンジットの概念図［クリックで拡大］

【人の統合】IEC 62443が求める「証明できる専門知識」

　どれほど高度な技術も、それを使いこなし、予期せぬ事態に適応できる「人」がいなければ意味を成しません。そして、この「人の能力」は、IEC 62443が明確に要求する事項となっています。

　例えば、IEC 62443-4-1の要求事項SM-4「セキュリティ専門知識」では、「職務の担当者が、役割に応じたセキュリティの専門知識を持っていることを証明するために、セキュリティ教育および評価プログラムを定め、提供しなければならない」と定められています。

　つまり、「レジリエンス・バイ・インテグレート」が目指す「人の統合」とは、単にITとOTの分断をなくすといった精神論ではなく、役割に応じたスキルを定義し、教育し、客観的に評価するプログラムを確立し、開発プロセスに盛り込むことに他なりません。これにより、部門を横断した迅速かつ的確な意思決定と行動が可能になるのです。

【組織の統合】IEC 62443が規定する「セキュアなプロセス」

　個々の「技術」や「人」の能力を最大限に引き出すのが、土台となる「組織」です。「レジリエンス・バイ・インテグレート」における組織の統合とは、IEC 62443が示すセキュアな開発／運用プロセスを組織全体に根付かせ、それを経営戦略にまで高めることを指します。

　具体的には、IEC 62443-4-1が規定するセキュアな製品開発ライフサイクル要件や、IEC 62443-2-1（資産所有者向け）、IEC 62443-2-4（サービス提供者向け）が示すセキュリティプログラム要件を組織の品質マネジメントシステム（ISO 9001など）と連携させ、継続的に運用／改善していく体制を構築します。

　この体制があって初めて、CRAのような法規制への適正な業務執行が、結果として「攻めのコンプライアンス」となり、企業価値向上につながるのです。

【注意点】

　ここで改めて注意すべきは、IEC 62443への適合が、必ずしもCRAの要求事項を全てカバーするわけではない点です。IEC 62443はあくまで制御システムがスコープですが、CRAはより広範な「デジタル要素を持つ製品」を対象とします。従って、CRAへの完全準拠を目指すには、情報セキュリティマネジメントの規格であるISO/IEC 27001なども含めた、包括的な視点が必要となります。

設計図を手にした後の次の一歩

　ここまで、IEC 62443という羅針盤を手に、「レジリエンス・バイ・インテグレート」の基本的な考え方と実践の第一歩を解説してきました。この「設計図」は、法規制への対応という守りのコンプライアンスを確実なものにするだけでなく、それを超えた事業価値を生み出すための出発点でもあります。

　設計図をどう活用し、単なる「コスト」を「攻めの投資」へと転換していくのか。その鍵は、レジリエンスの獲得を、いかにして「市場からの信頼獲得」や「持続可能な生産体制の構築」、ひいては「DXの加速」といった具体的なビジネス価値につなげるかという戦略的視点にあります。

　後編では、この「レジリエンス・バイ・インテグレート」の実践がもたらす具体的な事業価値と、それを実現するための人材と組織の在り方、そして日本の製造業が目指すべき未来像について、さらに踏み込んで論じていきます。

著者紹介

高橋誠

　制御機器ベンダーに38年勤務し、製品開発、商品開発、R&D統括部門などを担当。製品開発では主に新規市場参入製品の開発を担い、商品開発では新しいビジネスモデルを導入したソリューションビジネスの立上げを行った。R&D統括部門では、全社統合製品開発のプロジェクトマネジメント担当、中長期R&D開発検討担当、働き方改革検討タスクリーダーなどを務めた。