目的は工場のBCP強化、リコーグループのOTセキュリティの進め方とは：ITmedia Virtual EXPO 2025 冬（2/2 ページ）

製造業向けの国内最大級のオンラインイベント「ITmedia Virtual EXPO 2025 冬」で実施された、基調講演「リコーにおけるゼロからのファクトリーセキュリティの取り組み」の模様を紹介する。

[長町基，MONOist]

OTセキュリティを安全や5Sなど現場の教育コンテンツに盛り込む

　リコーインダストリーでは2019年に工場ネットワークのセキュリティガイドラインを策定し、2020年にはIT資産の管理強化に取り組み、2021年にはサポート切れOSの利用状況精査やセキュリティ監視を強化した。また、従業員向けのセキュリティ教育なども毎年実施している。庄司氏は「近年はデジタルマニュファクチャリングや外部人材の増加もあり、特に今回は生産現場のセキュリティを強化した」としている。

　東北事業所では近年、生産性向上のため、製造現場にIoT（モノのインターネット）機器を大量に導入しており、今やそれらなしでは生産が成立しない状況にある。リコーグループが行った生産拠点の再編によって、同グループの生産機能が東北事業所に集約されており、生産現場への外部人材の活用も拡大している。

　東北事業所が工場セキュリティの強化を行う上で重視したのは主に3点だ。

　1つ目は、外部社員でも守れる教育ツールやプロセスにすること。2つ目は、OTセキュリティを全く別のものだと意識させないように、安全や5Sなど現場の教育コンテンツに盛り込むこと。3つ目はレファレンス工場として他工場に即時に水平展開できるようにすることだ。「私たちが妥協すれば他工場の参考にならないので、自信を持って他工場に説得できるように、ということを社内メンバーに強く求めた」（庄司氏）。

　最初は自分たちの立ち位置を知るために、経産省の工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインのチェックシートを基に、組織的対策、運用的対策、技術的対策、工場システムサプライチェーン管理の4カテゴリーについて、セキュリティコンサルタントに客観的に評価してもらった。その時点での総合評価はCであった。これを受けて、まずは評価をCからBへと1段階高めることを目指した。

監査ではなく現状確認、セキュリティ強化ではなくBCP強化

　取り組んだのは主に体制づくり、サイバーセキュリティ教育、インシデント対応フローの3つだ。

　具体的には、3つのワーキンググループを作り、現場責任者としてキーマンを責任者に立てた。管理者、技術者、作業者向けにセキュリティ教育を実施し、特に作業者にはインシデント発生時の初動対応などを現場の教育コンテンツに盛り込んだ。インシデント発生後の対応手順を定め、実際に訓練を何度も実施した。

　こうした取り組みを1年間かけて実践したところ、活動後の総合評価はBとなり目標を達成した。今は評価Aを目指して活動を継続している。

　東北事業所の工場セキュリティ対策は、BCP（事業継続計画）の一環として実施しているものであり、製品／サービス提供への影響を最小限に抑えるためのリスク対策の1つとして行っている。

　その他にもBCPとして自然災害、パンデミック／感染症対策、国際情勢／地形学、材料高騰／部品不足、不祥事、仕入れ先倒産などにも取り組んでおり、有事の際にも操業が簡単には止まらない工場、仮に止まっても長期化しない工場づくりを目指している。

　リコーグループとしては東北事業所で得られたノウハウを国内外の生産拠点にも順次展開している。これまでの経験を通して、若杉氏は「工場のアセスメントの際は、『監査』ではなく『現状確認』だと何回も説明する」「主目的は『セキュリティ強化』ではなく、『BCP強化』として説明する」など、OTセキュリティを推進するための気付きを語った。

⇒その他の「産業制御システムのセキュリティ」の記事はこちら