狙われる“止まらない工場”、「動的システムセキュリティマネジメント」で守れ：産業制御システムのセキュリティ

アシュアードは、製造業のサプライチェーンリスク管理をテーマとした「Assured Security Summit for 製造業」を開催した。本稿では、名古屋工業大学の渡辺研司教授や三菱マテリアルの田島太郎氏が登壇したセッションをレポートする。

[長沢正博，MONOist]

　アシュアードは2026年1月28日、東京都内で製造業のサプライチェーンリスク管理をテーマとした「Assured Security Summit for 製造業」を開催した。

ITとOTの統合で高まるリスク、警察との日常的な連携も重要

　近年、クラウドサービスの活用や外部連携の加速に伴い、企業単体での防御には限界が生じている。特に製造業においては、取引先や工場を含むサプライチェーン全体を俯瞰した、動的なリスクマネジメントへの転換が急務となっている。そうした中、アシュアードは利用が広がるクラウドサービスのセキュリティ信用評価などを手掛けている。

　基調講演に登壇した、名古屋工業大学大学院 社会工学専攻教授の渡辺研司氏は「製造業のサプライチェーンリスクマネジメントにおけるサイバー・フィジカルセキュリティの重要性」をテーマに語った。

名古屋工業大学の渡辺研司氏

　IoT（モノのインターネット）やDX（デジタルトランスフォーメーション）の進展に伴い、製造現場と経営をリアルタイムにつなぐ、OT（制御技術）領域とIT領域の統合が進んでいる。ただ、これまで閉じられていたOT環境が外部とつながることで、サイバー攻撃のリスクも高まっている。渡辺氏は「ITとOTで担当領域が違うと意識や文化が異なるため、統合は容易ではない。OTはなるべく生産を止めないように苦心してきたが、攻撃者にとって動き続けていることは都合がいい。動き続けることにはリスクもある」と語る。

　また、渡辺氏は「攻撃者は複合的なアプローチで攻撃してくる。内部協力者を仕立てる可能性もある。業務プロセスや人間系まで含めた形で進めないと守り切れない」と指摘。ハードウェアやソフトウェア、ネットワークなどの「ICT・情報システム」、オペレーターや管理者を含めた「人間」、業務や危機対応などの「プロセス」が三位一体となった「動的システムセキュリティマネジメント」の必要性を説いた。

　さらに渡辺氏は、警察との連携も重要とした。近年は各都道府県警のサイバー部隊のスキルも向上している。万が一に備え、普段から関係性を深めて自社のシステムについてある程度警察に把握してもらう必要性を訴えている。「セキュリティについて学んだといっても、会社員が攻撃者の意識を持つのは難しい。その点、警察はプロファイリングができ、次の攻撃パターンが読める可能性もある。攻撃を受けた際には、“あの人に来てもらいたい”と指名して呼べるくらいの関係性を作ってほしい」と語った。

三菱マテリアルの田島太郎氏

　また、三菱マテリアル システム戦略部セキュリティ推進室の田島太郎氏は「三菱マテリアルが考える、セキュリティ領域におけるサプライチェーンリスクマネジメントの在り方」をテーマに講演した。

　田島氏は三菱マテリアルが考えるサプライチェーンリスクマネジメントの対象を、原材料の仕入れ先企業などの「川上」、三菱マテリアルおよびグループ会社、業務委託先やクラウド事業者などの「川中」、納品先の企業などの「川下」として紹介。「サプライチェーンリスクマネジメントは相手企業がいるため、通常のセキュリティ対策とは質が異なる。相手先に、自分たちが何を目指すのか、何を得たいのかなどを説明して、協力を得ることが大事になる」と述べた。

⇒その他の「産業制御システムのセキュリティ」の記事はこちら