セキュリティの各国規制が強化される中、製造業は何から手を打つべきか:製造業セキュリティ 2025 冬レポート(2/2 ページ)
MONOistはライブ配信セミナー「製造業セキュリティ 2025 冬- 製造現場のセキュリティ対策の革新と強化 -」を2025年1月16日に開催した。本稿では、JASAの牧野進二氏が行った基調講演「製品開発、製品運用でのサイバーセキュリティ対応〜サイバーセキュリティ動向とサイバーセキュリティ対策に必要なスキル〜」の内容を紹介する。
製造業はどうサイバーセキュリティ対策を行うべきか
製造業のセキュリティ対策の考え方としては、基本的に設備構成の把握が大きな要素となる。またサプライチェーンの構造把握も重要だ。これに製造現場で作業フローの把握という3つの視点をもった実際の構成管理や業務の構造内容をつかんでおくことが重要となる。「まずは業務やデータがどういう流れで行われており、どういう情報の流れや機器の構成となっており、何を守らなければならないかというのを可視化していくことが最初に取り組むことだ」と牧野氏は語る。
その上で、モノ(物理)、人(組織)、技術という3つの形から、直接侵入による管理外の機器接続などの対策、内部不正を起こさずミスを発生させない組織作り、マルウェアの侵入の拡大を防止する技術と対策が必要となる。これらの要素に対しては、製造業にとっては「IEC 62443」が1つの目安となる。
IEC 62443は、概要(IEC 62443-1)、ポリシー・手順(IEC 62443-2)、システム(IEC 62443-3)、コンポーネント(IEC 62443-4)で構成されており、それぞれの対象者ごとに参考にしやすい。その他の国際規格なども合わせた対策を進めていくことが求められる。
守りたい資産から逆算してセキュリティ対策を高める
これらの基本的な仕組みを作りつつ、セキュリティ対策を高めていくためには、攻撃者の立場に立った攻撃経路や攻撃内容の分析と、それに合わせた対策が必要だと牧野氏は訴える。「サイバー攻撃が高度化する中で攻撃手法も複雑になっている。自社のノウハウも含めた資産を定義し、それに対する攻撃経路がどうなっているのか、経路上にある脆弱性はどうなっているのか、攻撃された場合、被害をどう抑えるのかなど、順番に対策を進めていく必要がある」(牧野氏)。サイバー攻撃は、いきなり攻撃を受けるわけではなく、攻撃の予兆が存在する。「予兆となる動きを捉えることもサイバーセキュリティでは重要だ」と牧野氏は語る。
さらに、製品開発においてもそのプロセスにセキュリティを組み込んでいく必要がある。「開発サイクルの中で、製品セキュリティや製造システムセキュリティを適用する必要がある。さらに今後は製品の納入後も監視を行い、ライフサイクル全体を守っていくことが重要になる」と牧野氏は考えを述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
高度な標的型攻撃からOTシステムを守るために何をすべきか
OTシステムへの標的型攻撃が激化する中、セキュリティを確保する上でサイバー物理システムの可視化が極めて重要です。今回は、APTからOTシステムを保護する方法について解説します。
クラウドネイティブな組込ソフトウェア開発の在り方とは?
MONOistはオンラインセミナー「開発変革セミナー 2024 秋〜製造業特別DAY 組み込みセキュリティ〜」を開催。本稿では「クラウドネイティブな組込ソフトウェア開発とMLSecOpsへの進化」と題して日本クラウドセキュリティアライアンス(CSA)代表理事の笹原英司氏が行った基調講演の一部を紹介する。
スマート工場を守る、PLCの組み込みセキュリティでオムロンとシスコが提携
オムロンとシスコシステムズは製造現場のセキュリティを確保するために技術提携する。PLCにシスコのエッジセキュリティ向けソフトを搭載し製品化を進める。
半導体は組み込む前からセキュリティを確保すべし、キーサイトが新ソリューション
キーサイト・テクノロジーは、「EdgeTech+ 2024」において、2024年3月に買収を完了したリスキュア(Riscure)が展開するデバイスセキュリティの製品やサービスをアピールした。
スマート工場におけるガイドライン別冊の活用ポイントと注意点
本稿では、近年増加するスマート化を進める工場が留意するポイントを、スマート工場向けのガイドラインをもとに解説します。
2028年ロサンゼルス五輪は先進医療機器技術の万博になる!?
本連載第100回で、2024年パリ夏季オリンピック・パラリンピック競技大会におけるAI戦略動向を取り上げたが、既に4年後の2028年ロサンゼルスオリンピック・パラリンピック大会に向けて、新たな動きが始まっている。