工場のサイバーセキュリティ対策、スマート化を進める際のポイントとは：ITmedia Virtual EXPO 2024 夏（2/2 ページ）

製造業向けの国内最大級のオンラインイベント「ITmedia Virtual EXPO 2024 夏」において、「経済産業省における工場セキュリティ政策〜工場スマート化を進める際の対策ポイント〜」をテーマに経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐 加藤優一氏が行った基調講演の模様を一部紹介する。

[MONOist]

工場セキュリティガイドラインの概要

　ガイドラインは、互いに深く理解されていないといわれる、ITとOTそれぞれの担当者に読んでもらうことを目指している。「互いに歩み寄ってもらえるように考えており、両者から見てどのような手順で工場のセキュリティ対策を進めるのがいいか、分かるようになっている」（加藤氏）という。

　また、サイバー攻撃により工場が順守するBC（事業継続性）、SQDC（安全、品質、納期、コスト）が脅かされるということも表記している。一方で、IoTや自動化により新たな付加価値が生み出せることなども付け加えた。

　ガイドラインでは、工場セキュリティ対策の具体的な進め方を3つのステップで紹介している。ステップ1ではまず企業の担当者が業務を洗い出し、それぞれに重要度を設定し、リスク分析を行う。ステップ2では、重要度に応じた対策を考え、ステップ3でその対策の実施に移る。そこでは運用と共に対策の検討についてもPDCAを回して見直していくことを重要視している。

　工場のセキュリティ対策の実施は容易ではなく、さらに継続的であることが必要となる。「この大変さ故に取り組めていないため、隙をつかれているのが現状だ。そこを経営者の方々にも認識してもらい、セキュリティ対策に取り組んでいただきたい」と加藤氏は強調した。

　ガイドラインの目的については、産業界全体、とりわけ工場システムのセキュリティの底上げを目指すもので、適用範囲は部門間、担当間の立場を認識しつつコミュニケーションを取っていくことを推奨する。

　ステップを提示するに当たっては、分かりやすさの観点から、具体的な例として想定工場を設定した。現場感と矛盾しない効率的な対策が立案できるように、実際の現場の機器やシステムを大きなくくりの概念として、俯瞰的に捉えるためのゾーンを設定し、セキュリティ対策を立案するアプローチを提示した。

工場セキュリティガイドライン別冊の狙い

　別冊は、ガイドライン作成時からスマートファクトリーやサプライチェーンに特化したガイドラインの必要性を感じていたため公表に至った。

　クラウドサービス、汎用品の利用などが拡大する中で、サイバーセキュリティにより留意するポイントが増えてきていることから、本編に書ききれないものを別冊としてまとめた。

　本編との整合性を図るため、本編の3つのステップに沿ってスマート化を図る際に注意すべき点を紹介している。また、工場の価値創造の促進を後押ししつつ、近年さらに強まっているセキュリティの必要性を訴えている。

　このほか、工場のスマート化を進めるうえでのセキュリティ対策の1つとして、こちらでもゾーンについてより詳細に設定することが上げられる。そのやり方、考え方を掲載している。

　例えばステップ1ではスマート化を推進する際には、内外要件、業務／保護対象との再整理が必要であることなどを記載。ステップ2では、対策例としてどのような脅威と対応するか本編と同様の枠組みで紹介している。

　ステップ3では、ライフサイクルの対策としてサイバー攻撃の早期認識と対処の重要性、スマート化においてPDCAを回す際に検討すべき事項を記載し、サプライチェーン対策では、スマート化に伴い広がるクラウド、汎用品ソフトウェア利用時の注意事項を解説している。

　なお、スマート化を進めると自社だけでは管理しきれない外部サービスの利用も増えてくるため、サプライチェーンがより広がっていくことも想定し、責任、役割分担をより明確にしないとセキュリティ上の脆弱性につながることも考えられる。そのため、調達先に求めるセキュリティの要件や考え方などを掲載している。

⇒その他の「産業制御システムのセキュリティ」の記事はこちら