経産省の工場セキュリティガイドラインはなぜ別冊が必要だったのか:FAインタビュー(2/2 ページ)
経済産業省は工場セキュリティガイドラインを2022年11月に発表したのに続き、同ガイドラインの【別冊:スマート化を進める上でのポイント】を2024年4月に公開した。これらを策定した狙いはどこにあるのか、経済産業省に聞いた。
工場セキュリティガイドライン別冊策定の狙いとは
MONOist なぜ別冊が必要になったのでしょうか。
加藤氏 工場セキュリティガイドラインの策定当初から“スマートファクトリーやサプライチェーン脅威に特化したガイドラインがあった方がいいのでは”という議論があり、別冊ができる1つのきっかけにもなっている。
どこからがスマートファクトリーなのかという明確な線引きは難しいが、製造現場でクラウドサービスや汎用品の利用が広がり、サイバーセキュリティに対してより留意すべきポイントが増えている。工場セキュリティガイドラインの初版には書ききれなかった部分があり、別冊という形にまとまった。
工場のスマート化を進める上でポイントになるセキュリティ対策の1つとしては、ゾーンをより詳細に設定する必要がある。そのやり方、考え方を別冊では紹介している。
スマート化を進めると自社だけでは管理できない外部サービスの利用も増える。サプライチェーンがより広がっていくことを想定して、責任分界や役割分担をより明確にしないとセキュリティ上の脆弱性になってしまう。調達先に求めるセキュリティ要件の考え方なども載せており、ぜひ参考にしていただきたい。
業界団体とも連携してガイドラインを普及促進
MONOist ガイドラインの活用促進に向けて今後の方向性を教えてください。
加藤氏 これまでに策定されたガイドラインの中でも工場セキュリティガイドラインはダウンロード数が多く、既に3万8000件がダウンロードされている。これをさらに増やしていきたい。また、ガイドラインの普及啓発に向けた取り組みも始めている。その1つが業界団体と連携した普及活動だ。
産業界が一体となって2020年に設立された「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」には、経済3団体(日本経済団体連合会、日本商工会議所、経済同友会)や日本自動車工業会、電子情報技術産業協会など約100の業界団体および約70の企業が加盟している。SC3と連携して、ユーザー側、つまり実際にガイドラインを読んで、使う側の人たちの声を多く集めていきたい。「ガイドラインのここが分かりにくい」といった声が集まれば、それらを反映していきたい。
既に1つの声として挙がっているのは、このガイドラインは参考書としては非常に分かりやすいが、いざ具体的に実装しようとするとどうすればいいのか分からない、というものだ。ただ、われわれとして個社の製品を紹介するわけにはいかず、たとえ紹介したとしてもその製品を導入すれば解決するというものでもない。
今後、企業の導入事例を紹介することも検討しているが、最終的には自分たちで対策を考えていただくことが非常に重要となる。
特に工場のサイバーセキュリティに関しては、資産管理やリスク分析で外部企業のサービスを取り入れることも可能だが、やはり工場自体が自分たちで考え動くということが大切だ。そういった方向へのアプローチをSC3とも連携して進めていきたい。
MONOist MONOistの読者へメッセージがあれば。
加藤氏 現場からのボトムアップで経営層を説得するのは難しい。経営者がサイバーセキュリティに取り組むと決めて、IT部門とOT部門にそれぞれ指示するという流れが必要となる。
サイバーセキュリティ対策を進めることで、直接的にメリットが生まれるわけではない。むしろコストになるが、工場のサイバーセキュリティに関する要件は海外でも増えており、今後海外の企業と取引をするためには、そういった要件を満たさなければならない方向に動いている。サイバーセキュリティはそれほど大事なファクターになってきていることを経営層にもぜひご理解いただきたい。また、サイバーセキュリティの担当者がそういった重要な業務に携わっていることを経営層には評価していただきたい。
関連記事
- スマート工場の約半分がサイバー攻撃で生産停止、その内4割以上が4日以上止まる
トレンドマイクロは2021年4月23日、日本、米国、ドイツの3カ国を対象とする「スマートファクトリーにおけるセキュリティの実態調査」の結果を発表した。本稿ではその内容を紹介する。 - スマート工場で見逃されている2大侵入ポイントとは?
スマート工場化が加速する一方で高まっているのがサイバー攻撃のリスクである。本連載ではトレンドマイクロがまとめた工場のスマート化に伴う新たなセキュリティリスクについての実証実験研究の結果を基に注意すべきセキュリティリスクを考察する。第1回では、工場の「スマート化」とは何かを定義するとともに、そこから見えたスマート工場特有の侵入経路について解説する。 - 工場のネットワークセキュリティ対策とは?
インダストリー4.0や工場向けIoTなどに注目が集まっていますが、そもそも工場内のネットワーク環境は、どのように構築すべきなのでしょうか。本連載では、産業用イーサネットの導入に当たり、その基礎から設備設計の留意点などを含めて解説していきます。第5回では、工場のネットワークセキュリティ対策について解説します。 - 制御システムセキュリティの現在とこれから
制御システム技術者が知っておくべき「セキュリティの基礎知識」を分かりやすく紹介する本連載。最終回となる今回は、今までに述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で、これから制御システムセキュリティの分野がどうなっていくのかについての考えを紹介する。 - PLCが人質に取られて脅迫される時代へ、IoTがもたらす産業機器の危機
JPCERT コーディネーションセンターと経済産業省は「制御システムセキュリティカンファレンス」を開催。高度化が進む、制御システムへの攻撃の事例を紹介した。 - 工場のスマート化で高まるサイバーリスク、経産省が対策の要点など公開
経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊:スマート化を進める上でのポイント】」を公表した。
関連リンク
- 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0
- 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊:スマート化を進める上でのポイント】
- The Cyber/Physical Security Guidelines for Factory Systems(工場セキュリティガイドライン英語版)
- The Cyber/Physical Security Guidelines for Factory Systems[Appendix: Key Considerations for Promoting Smartification](別冊英語版)
Copyright © ITmedia, Inc. All Rights Reserved.