経産省の工場セキュリティガイドラインはなぜ別冊が必要だったのか：FAインタビュー（2/2 ページ）

経済産業省は工場セキュリティガイドラインを2022年11月に発表したのに続き、同ガイドラインの【別冊：スマート化を進める上でのポイント】を2024年4月に公開した。これらを策定した狙いはどこにあるのか、経済産業省に聞いた。

[長沢正博，MONOist]

工場セキュリティガイドライン別冊策定の狙いとは

MONOist　なぜ別冊が必要になったのでしょうか。

加藤氏　工場セキュリティガイドラインの策定当初から“スマートファクトリーやサプライチェーン脅威に特化したガイドラインがあった方がいいのでは”という議論があり、別冊ができる1つのきっかけにもなっている。

　どこからがスマートファクトリーなのかという明確な線引きは難しいが、製造現場でクラウドサービスや汎用品の利用が広がり、サイバーセキュリティに対してより留意すべきポイントが増えている。工場セキュリティガイドラインの初版には書ききれなかった部分があり、別冊という形にまとまった。

工場セキュリティガイドライン別冊の概要［クリックで拡大］出所：経済産業省

　工場のスマート化を進める上でポイントになるセキュリティ対策の1つとしては、ゾーンをより詳細に設定する必要がある。そのやり方、考え方を別冊では紹介している。

　スマート化を進めると自社だけでは管理できない外部サービスの利用も増える。サプライチェーンがより広がっていくことを想定して、責任分界や役割分担をより明確にしないとセキュリティ上の脆弱性になってしまう。調達先に求めるセキュリティ要件の考え方なども載せており、ぜひ参考にしていただきたい。

業界団体とも連携してガイドラインを普及促進

MONOist　ガイドラインの活用促進に向けて今後の方向性を教えてください。

加藤氏　これまでに策定されたガイドラインの中でも工場セキュリティガイドラインはダウンロード数が多く、既に3万8000件がダウンロードされている。これをさらに増やしていきたい。また、ガイドラインの普及啓発に向けた取り組みも始めている。その1つが業界団体と連携した普及活動だ。

　産業界が一体となって2020年に設立された「サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）」には、経済3団体（日本経済団体連合会、日本商工会議所、経済同友会）や日本自動車工業会、電子情報技術産業協会など約100の業界団体および約70の企業が加盟している。SC3と連携して、ユーザー側、つまり実際にガイドラインを読んで、使う側の人たちの声を多く集めていきたい。「ガイドラインのここが分かりにくい」といった声が集まれば、それらを反映していきたい。

　既に1つの声として挙がっているのは、このガイドラインは参考書としては非常に分かりやすいが、いざ具体的に実装しようとするとどうすればいいのか分からない、というものだ。ただ、われわれとして個社の製品を紹介するわけにはいかず、たとえ紹介したとしてもその製品を導入すれば解決するというものでもない。

　今後、企業の導入事例を紹介することも検討しているが、最終的には自分たちで対策を考えていただくことが非常に重要となる。

　特に工場のサイバーセキュリティに関しては、資産管理やリスク分析で外部企業のサービスを取り入れることも可能だが、やはり工場自体が自分たちで考え動くということが大切だ。そういった方向へのアプローチをSC3とも連携して進めていきたい。

MONOist　MONOistの読者へメッセージがあれば。

加藤氏　現場からのボトムアップで経営層を説得するのは難しい。経営者がサイバーセキュリティに取り組むと決めて、IT部門とOT部門にそれぞれ指示するという流れが必要となる。

　サイバーセキュリティ対策を進めることで、直接的にメリットが生まれるわけではない。むしろコストになるが、工場のサイバーセキュリティに関する要件は海外でも増えており、今後海外の企業と取引をするためには、そういった要件を満たさなければならない方向に動いている。サイバーセキュリティはそれほど大事なファクターになってきていることを経営層にもぜひご理解いただきたい。また、サイバーセキュリティの担当者がそういった重要な業務に携わっていることを経営層には評価していただきたい。

⇒その他の「FAインタビュー」の記事はこちら