　セミナーでは、産業用オートメーションおよび制御システムのセキュリティに関する国際規格IEC 62443に基づく工場のレジリエンス強化策や、欧州のCRA（サイバーレジリエンス法）や米国のCIRCIA（サイバーインシデント報告に関する重要インフラ法）など最新の国際規制動向を踏まえた現場の多層防御から出荷後の脆弱性対応まで、信頼と稼働を守り抜くための実践的ノウハウを提供した。

　OT（制御技術）環境のサイバーセキュリティに関しては、2010年に発生したイランのウラン濃縮施設へのサイバー攻撃が大きなインパクトを与えた。外部ネットワークから隔離されたOT環境がマルウェア「Stuxnet」を用いたサイバー攻撃によって、PLC（プログラマブルロジックコントローラー）の制御ロジックを改変させられ、物理的に装置を破壊できることが示されたからだ。グローバルでOT環境の脆弱性に目が向けられ、セキュリティ対策への具体的な取り組みが始まった。

　ただ、サイバー攻撃の手法は進化しており、防御側もその都度対応を迫られてきた。特に近年は、ランサムウェアが直接、工場などの制御システムへの攻撃に使われるようになり、対応策が求められている。

　ランサムウェア攻撃後の一般的な復旧期間は、一時的な業務再開までには、攻撃が隔離され、検証済みのバックアップから重要なシステムが迅速に復元できた場合（バックアップ成功時）で数日～1週間、平均的には2～4週間を要している。

　OT環境がサイバー攻撃を受けた場合、被害がデジタルの世界にとどまるIT環境よりも復旧期間が長期化する傾向があるという。特にMES（製造実行システム）やSCADA（データ収集／監視制御システム）をランサムウェアに攻撃され、データを暗号化されるとマスターとなるデータを失うため、村上氏は「ゼロから製造システムを構築し直さないといけなくなり、企業は大きなダメージを受けることになる」と警鐘を鳴らす。そして「操業停止の期間は製品が出荷できず売り上げがなくなる一方で、復旧のためのコストがかかり、企業経営として困難な状況に陥る可能性が高い」と指摘した。

　こうした状況を受け、世界各地でサイバーセキュリティに関する法規制が強化されている。欧州ではCRAやMR（機械規則）、米国のCIRCIA、大統領令に基づくセキュリティ要件、CMMC（サイバーセキュリティ成熟度モデル認証）が策定され、関係する日本企業も対応に迫られている。

　日本では経済産業省が進める、サプライチェーンにおけるサイバーセキュリティ対策評価制度があり、さらにサイバーセキュリティ対策を行う企業への支援も用意されている。この他、業界別に特有のサイバーセキュリティ要件を満たす強化基準のガイドラインも示されている。「ガイドラインと聞くと、参考程度で構わないと捉える企業もあるかもしれないが、“ガイドラインに従うこと”と法律で定められると、ガイドラインは法律と同じ効果を持つ」（村上氏）。

予防保全対策とインシデント対策の両輪が重要

　こうした中で、村上氏は、工場のオーナーとシステムインテグレーターは、予防保全対策とインシデント対策の両輪でサイバーセキュリティを目指すべきだとする。

　予防保全対策では侵入を困難にするためのシステム設計が求められる。攻撃者は初期アクセス権の取得や特権の昇格を利用して侵入するため、脆弱性を事前に解消して侵入経路を防ぐことが必要となる。具体的には、「脅威リスクモデル設計」を実施することで、「リスクアセスメント」の基準の根拠が明確になる。また、公共機関向けに研究開発支援を行う米国の非営利団体MITREが公開しているMITRE ATT&CK分析を使うことで、攻撃手法の分析が可能になる。

　防御技術を体系化したMITREのD3FENDを使い、現場での侵入ルート、標的になり得る機器など、さまざまな脅威リスクをリストアップできる。「セキュリティ・バイ・デザイン」においては、システム、コンポーネント、デバイスの3つの層で多層防御の手法を用い、深層多層防御設計を実施する。

　インシデント対策は、侵入した攻撃者がアクセス先の環境を移動したり、システムとデータを操作、破壊しようとしたりする前に、その試みを検知／停止させ、事業にクリティカルな被害が及ぶことを阻止するのが目的だ。

　防御機能がマルウェアの攻撃などを検知すると、応急措置を行う。さらにログデータを保護した状態で取り出して分析する。その結果をATT&CK分析やD3FEND、またIEC 62443の要件などに照らし合わせることで、具体的な対処方法が見えてくるという。

　「止まらない工場」を実現するためのサイバーレジリエンスに関しては、IEC 62443に要件が記載されている。セキュリティレベル（SL）がSL0～SL4（SL0は何もしていない）の段階で定義されている。ただ、セキュリティ対策だけでは具体的な運営はできない。実際に運営する組織の成熟度を測る指標として定められているのが、マチュリティレベル（ML）だ。マチュリティレベルはML1～ML4まである。このマチュリティレベルとセキュリティレベルの組み合わせでプロテクトレベル（PL）が定義されている。

　講演では、このように現場で多層防御を徹底することで、攻撃を受けても稼働を続けられる「ダウンタイムゼロ」の工場を目指す方法を紹介した。

　なお、ICS研究所では制御システムセキュリティ対策について4つのプログラムを用意している。約290の講座を繰り返し見ることができるオンデマンドビデオ講座「eICS」、学んだ内容の理解度をIEC 62443のマチュリティレベルに合わせて測ることができる「制御システムセキュリティ実務能力検定」の他、「リモートセミナー研修」や「コンサルティング」を提供している。

⇒その他の「FAイベントレポート」の記事はこちら

CRA時代の羅針盤IEC 62443が示す「レジリエンス・バイ・インテグレート」
本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド（格差）」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。第2回では、産業用オートメーションおよび制御システム（IACS）のセキュリティに関する国際規格「IEC 62443」を読み解き、「レジリエンス・バイ・インテグレート」実現への道を解説していきます。
防御からレジリエンスへ～製造業を襲うサイバーセキュリティ“格付け”の波
本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド（格差）」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。第1回では、製造業を取り巻く環境の激変と、そこから生まれる新たな“選別”の波について解説します。
OTセキュリティ規制対応を「攻めの投資」へ変える方法とは
本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド（格差）」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。最終回となる第3回では、これまで述べてきた取り組みがいかにして企業の未来を創る「攻めの投資」となり得るのかを論じます。
IEC 62443とは何か、工場のサイバーセキュリティ対策のカギを握る国際標準を解説
スマートファクトリー化に伴い工場でもネットワーク化が進む中で、サイバーセキュリティ対策が欠かせないものとなりつつあります。しかし、製造現場ではこれらのサイバーセキュリティ対策のノウハウもなく「何から手を付けてよいか分からない」と戸惑う現場が多いのも現実です。その中で活用が進んでいるのが国際標準である「IEC 62443」です。本連載では、「IEC 62443」の概要と活用方法についてお伝えします。
安全な工場ネットワーク環境を作る組織とは？　その手引書となる「IEC 62443-2」
スマートファクトリー化に伴い工場でもネットワーク化が進む中で、サイバーセキュリティ対策の重要性が高まっています。その中で注目を集めている国際標準規格が「IEC 62443」です。本連載ではそのIEC 62443について解説をしていますが、2回目となる今回は、組織面について規定した「IEC 62443-2」について紹介します。
CRAで変わる産業サイバー対策：実務対応ポイントと最新動向
EUで成立したサイバーレジリエンス法（CRA）は、デジタル要素を持つ製品に対し、設計から市場投入後まで一貫したサイバーセキュリティ対策を義務付けている。EU市場に製品を供給する場合、EU域外の日本企業もCRA対応が必要となる。本稿では、CRA対応の要点を解説する。