検索
連載

OTセキュリティ規制対応を「攻めの投資」へ変える方法とは製造業サイバーセキュリティ新常識(3)(1/2 ページ)

本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド(格差)」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。最終回となる第3回では、これまで述べてきた取り組みがいかにして企業の未来を創る「攻めの投資」となり得るのかを論じます。

Share
Tweet
LINE
Hatena

 これまでの連載で、製造業に迫る「サイバーセキュリティ格付け」の波(第1回)と、その荒波を乗り越えるための設計図「IEC 62443」(第2回)について解説してきました。

 最終回となる本稿では、視点を大きく転換し、これらの取り組みが、いかにして企業の未来を創る「攻めの投資」となり得るのかを論じます。

⇒連載「製造業サイバーセキュリティ新常識」のバックナンバーはこちら

規制対応を競争力に変えるには

 多くの企業にとって、CRA(欧州サイバーレジリエンス法案)のような法規制への対応は、負担の大きい「守りのコスト」と映るかもしれません。しかし、その認識こそが、これからの時代、最大の機会損失につながります。「レジリエンス・バイ・インテグレート」の実践は、規制対応を競争優位の源泉へと変えるのです。

 その一例が、「第三者認証」の価値です。顧客の立場で考えてみましょう。

 サプライヤーから調達する製品が「自己認証」の場合、そのセキュリティを担保するのは顧客自身です。受け入れ検査のために、高価な検査設備やセキュリティ専門家を自社で用意する必要があり、調達コストは増大します。

 一方で「第三者認証取得製品」であれば、顧客は提出された証明書の写しを確認するだけで済みます。設備も専門家も不要となり、負担は劇的に軽減されます。調達コストと信頼性を考えれば、顧客がどちらを選ぶかは火を見るより明らかです。

 このように、レジリエンスへの投資は、顧客の課題を直接解決する強力な武器となり、市場での「選ばれる理由」を創造します。これこそが、規制を順守するだけの守りの姿勢から脱却し、規制をビジネスチャンスとして活用する「攻めのコンプライアンス」の本質です。厳しい要求を満たすことで得られる「信用」が、そのままグローバル市場での差別化要素となるのです。

 さらに、この信頼性を担保するためには、製品やシステムのセキュリティ設計だけでなく、サプライチェーンのサイバーセキュリティ強化対策の外注監査実務といった、調達プロセスにおける実効的な取り組みが不可欠です。また、組織全体でセキュリティ意識を高めるための社員教育「セキュリティ5S」の普及も、信頼獲得の基盤となります。

 セキュリティ5Sとは、製造現場の職場改善活動「5S(整理、整頓、清掃、清潔、しつけ)」をセキュリティ対策に応用した考え方です。

 不要な情報や権限を「整理」し、セキュリティ対策を「整頓」、脅威を「清掃」し、ルールを「清潔」に保ち、安全な行動を「しつけ」として習慣化することで、全従業員が参加できる組織的なセキュリティ文化の醸成を目指します。

レジリエンス・バイ・インテグレートがもたらす3つの価値

 「レジリエンス・バイ・インテグレート」の実践は、単なる規制対応を超え、具体的に3つの事業価値をもたらします。

【価値1】:市場からの揺ぎない信頼獲得

 前述の通り、第三者認証の取得などは、自社のレジリエンスレベルを客観的に証明し、顧客やパートナーからの信頼を獲得する上で絶大な効果を発揮します。

 今やグローバルなサプライチェーンにおいて、高いサイバーレジリエンスは取引継続の必須条件、すなわち「ビジネスの入場券」になりつつあります。米国の国防総省が定めた「CMMC(サイバーセキュリティ成熟度モデル認証)」や、英国の国家サイバー セキュリティセンターが制定した「サイバーエッセンシャルズ」など、世界ではサプライチェーン全体を「格付け」する動きが加速しており、高い評価を得ることが、そのままグローバルな事業機会の拡大に直結するのです。

【価値2】:持続可能な生産体制の構築

 モノづくりDXの実現には、OT(制御技術)の現場データや工程情報をITシステムへ連携させることが不可欠です。しかし、それは同時にサイバーリスクの増大を意味します。

 そこで先進的な化学工場や半導体工場では、OTとITの間にDMZ(非武装地帯)を設け、その中にMES(製造実行システム)などを配置する厳格な多層防御を実践しています。

 こうした取り組みの根底にあるのが、リスクアセスメントで必要な脅威リスクモデル設計手法に基づいた的確な評価と、それに対応した多層防御および深層多層防御技術の実装です。

 アーキテクチャに適合した深層多層防御と、サイバーレジリエンス対応でのレジリエンス実現技術である自動回復技術によって、インシデントの検知/自動対処/改善のサイクルを回すことで、ランサムウェア攻撃や標的型攻撃を受けたとしても迅速に復旧し、事業を継続できる、真に持続可能な生産体制が実現します。

【価値3】:DXの真価を引き出す、イノベーションの加速

 「セキュリティが不安で、本格的なDXに踏み切れない」というジレンマは多くの製造業が抱える課題です。「レジリエンス・バイ・インテグレート」によって強固なセキュリティ基盤が確立されて初めて、企業はこの足かせから解放されます。

 安全が担保されたOT/IT融合環境は、AI活用による品質向上や予知保全を可能にします。さらには、物理的な設備とそのデジタル情報に加え、熟練技術者の知見という第三の要素を統合した「デジタル・トリプレット」のような、より高度な価値創造への道を開きます。

 この動きを加速させるためには、AIをDXシステムに導入した場合のサイバーセキュリティ/サイバーレジリエンス対策が不可欠です。

 AI機能は利便性を高める一方で、新たなサイバーリスクを生み出す可能性もあるため、その対策は入念に行う必要があります。さらに、AI機能を組み込んだ製品における安全確保設計とサポートにおけるPSIRT技術も、製品の信頼性を維持する上で重要な要素となります。強固なレジリエンスは、モノづくりDXの真価を最大限に引き出すイノベーションの加速器となるのです。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る