冴えない工場セキュリティガイドラインの育てかた:事例で学ぶ製造業DXセキュリティ対策入門(4)(2/4 ページ)
社内DXセキュリティプロジェクトチームのリーダーに任命された、ABC化学薬品新卒6年目の青井葵。元工場長の変わり者、古井課長の手助けも得て、製造業がDXプロジェクトと併せて進めるべき「DXセキュリティ対策」を推進していく本連載。今回は、ピンとこない工場セキュリティのガイドラインをどのように使いやすいものにしていくかを考える。
セキュリティガイドラインの沼
なるほど、確かにそれは難問だね。何かトライしてみたことはあるの?
はい、工場向けのセキュリティ対策のガイドラインや、他社はどうしているのかについて調べたりしました。
なるほど、世の中で私たちが初めてやることじゃないのだから、外に情報があるだろうと。確か、有名な一般制御システム向けのガイドラインもあったよね。
はい、IEC 62443と呼ばれる国際標準がありまして、工場向けのセキュリティ対策については、セキュリティ管理から工場ネットワークの対策まで、網羅的に書かれていたので大変参考になりました。
ふむふむ。よく調べて勉強しているじゃない。IEC 62443は確かに国際標準でもあるし、プラント業界を中心に広く使われているらしいね。
はい、なので、そのガイドラインの要求項目をベースに、セキュリティ対策を整理してみたのですが、どうもしっくりこないです。
ほう、具体的には何がしっくりこないの?
例えば、ガイドラインには「制御システムに対する悪意あるコードを防御しなさい」と書かれているのですが、私たちのシステム内での具体的な適用場所や、ソリューションについては書いていません。
そりゃ、ガイドライン作った人は、私たちのシステムのことを知らないし、実現のためのソリューションは幅広くあるから、それは当然の話だよね。
はい、それはそうなのですが、ネットワークで防御するのか、それぞれの端末で防御するのか、端末でやるとしたら、うちの工場だとサポート切れのOSがあってウイルス対策の導入が難しいとか、いろいろ制限がある中で、書いてある通りにはいかなくて。
まあ、うち特有の事情があるからね。
他社事例を見ても同様でして。「IEC 62443対応できました」みたいな資料もあるのですが、なんかうそくさいというか、理想的すぎて、うちの工場には適用できないなと感じるものばかりです。どこかに正解があると思うのですが。
なるほど、青井さんは「ガイドラインの沼」にはまってしまった状態だね。
沼……。確かに、考えても、考えても、作業ばかりが増えて、かえって正解が分からなくなっていく今の状況は、沼だな。心なしか課長がうれしそうに見えるのは気のせいか。
Copyright © ITmedia, Inc. All Rights Reserved.