あまりに手薄な工場セキュリティ、現場目線での実効性の高い進め方

　「OT（Operational Technology：制御技術）領域のセキュリティを強化するためには、環境アセスメントやOTセキュリティ実装、OT-SOC（Security Operation Center）の活用などベストプラクティスの活用が重要だ。OTセキュリティを経営課題に位置づけ、全社的な取り組みとして推進していかねばならない」--。IIJグローバルソリューションズ ビジネス開発本部 DX戦略企画部でITアーキテクトを務める中野 潤一 氏は、こう指摘する（写真1）。

写真1：IIJグローバルソリューションズ ビジネス開発本部 DX戦略企画部 ITアーキテクトの 中野 潤一 氏

　その背景として中野氏は、「OT領域のセキュリティは、IT（Information Technology：情報技術）領域のセキュリティと比較して難しい点が多い。例えば、セキュリティポリシー自体がなかったり形骸化していたりすることが珍しくはない。現場部門とIT部門が互いの立場を理解しておらず合意形成が難しいという課題もある」と説明する。

OTセキュリティの脆弱さはサプライチェーン全体に影響を与える

　製造業は今、“モノ売りからコト売り”へのシフトや、市場ニーズに応えるためのデータ活用、サプライチェーンの強靭化などへの取り組みを強化しており、OTセキュリティも強く求められている。ただ工場のデジタル化が進む一方でサイバー攻撃の被害が続出。そのため国をあげて最新のガイドラインを策定する動きが進んでいる。

　日本で策定されているガイドラインには、経済産業省の『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』やIPA（情報処理推進機構）の『スマート工場化でのシステムセキュリティ対策事例 調査報告書』などがある。

　2022年に公表された『産業用制御システムのセキュリティ10大脅威』によれば、従来からある、リムーバブルメディアなどからのマルウェア感染、リモートメンテナンスアクセスからの侵入などの脅威に加え、イントラネット経由のマルウェア感染やクラウドからの攻撃といった新たな脅威が増えている。

　「工場のセキュリティが手薄なままだと『SQDC（Safety：安全、Quality：品質、Delivery：納期、Cost：コスト）』の目標や生産継続性に影響を与えるのは間違いない。データの漏洩、生産設備の稼働の妨害など、サプライチェーン全体のビジネスに影響がおよぶ可能性すらある。だからこそOTとITに関わる人が協調しサイバーセキュリティ対策を進める必要がある」と中野氏は強調する（図1）。

図1：（Operational Technology：制御技術）とIT（Information Technology：情報技術）に関わる人が協調した取り組みが重要に