【対談】工場の完全無人運営を視野にIT／OTセキュリティの再定義が必要に

　産業のDX（デジタルトランスフォーメーション）が進展する中、OT（Operation Technology：制御技術）領域でのデジタル化が急速に進展し、OTセキュリティの重要性が増している。IPA(情報処理推進機構) 産業サイバーセキュリティセンター（ICSCoE）専門委員の青山 友美 氏は、OTセキュリティの今後を占う上での象徴的な例としてノルウェーの石油会社Aker BPの取り組みを挙げる（写真1）。Aker BPは2023年、新たな石油採掘プラットフォームを完全無人で運営すると発表した。

写真1：IPA(情報処理推進機構) 産業サイバーセキュリティセンター（ICSCoE）専門委員 の青山 友美 氏

　「同施設にはトイレもなく、リモートでモニタリングしながら採掘する。これまでのOTセキュリティでは、現地での作業やSOC（セキュリティ運用センター)による監視などが必要だった。だが今後は、製造業の工場などでも、Aker BPのような完全無人の運営が進むと予想される。OTセキュリティのあり方は、人による対応を前提とした従来の姿とは大きく変わってくる可能性がある」と青山氏は指摘する。

日本企業のOTセキュリティ成熟度は認識期と発見期の間

　そうした将来像が視野に入る中、OTセキュリティの取り組み状況について青山氏は、米調査会社のガートナーが提唱する成熟度を挙げながら、こう話す。

「OTセキュリティは、脅威の『認識』から『発見』『意識変革』『火消し』を経て、IT（Information Technology：情報技術）・OT・物理セキュリティの『統合』、オペレーショナルレジリエンスマネジメントへの『成熟』への進展していく。2019年時点では、統合期や成熟期まで進んでいるのは国際的に見ても10%である」（図1）

図1：米ガートナーが提唱するOTセキュリティの成熟過程。図は青山氏にによる訳

　IPA ICSCoE 専門委員で名古屋工業大学 ものづくりDX研究所 客員 准教授でもある佐々木 弘志 氏も、製造業におけるDXの現状について「アナログをデジタル化するフェーズにとどまるものが多く、組織や文化の変革までは至っていない」と見る（写真2）。

写真2：IPA(情報処理推進機構) 産業サイバーセキュリティセンター（ICSCoE）専門委員であり名古屋工業大学 ものづくりDX研究所 客員 准教授の佐々木 弘志 氏

　「日本では（OTセキュリティの）統合期／成熟期に至っている組織はおそらく1%程度。認識期と発見期の間にいるケースが多いと感じる。OTセキュリティに取り組むための空気感は醸成されているものの、どう進めれば良いかが分からない状況だ。現場のOT担当者とIT担当者の間にギャップがある。IT担当者は自分の持ち物でない制御システムをどう管理するのかに課題を感じ、OT担当者はセキュリティ対策の必要性に疑問を感じている。セキュリティツールの導入以前に、こうした両者の意識のギャップが大きい」(佐々木氏)

　「ただし、OTセキュリティのビジネスに占める重要度が高まるにつれ、CISO（最高情報セキュリティ責任者）などが管轄する「CSIRT（コンピュータセキュリティインシデントレスポンスチーム）」に加え、「製造現場を対象にした『FSIRT（製品セキュリティ／工場インシデントレスポンスチーム）』を設けるなど組織的な融合は進みつつある」と佐々木氏は話す。