OTセキュリティ対策では事業者自らがリスクを認識し対策を打つ

ステップ1=現状把握

　経産省は2022年に『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』を公開し、32項目のチェックリストを挙げている。同チェックリストに沿って現状を把握する。フォーティネットは、同チェックリストに基づいたWeb診断を無料で提供している（図2）。

図2：経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」のチェックリストに基づいた無料Web診断結果の例

ステップ2=リスクの正しい理解と計画

　チェックリストに基づく現状把握を元に、実際の現場を訪れ、IT／OTシステムだけでなく経営などにも潜むリスクを洗い出す。フォーティネットが実施する「現地アセスメント」では、現場の「5S：整理・整頓・清掃・清潔・躾」や「KY：危険予知活動」などを詳細に調査する。小泉氏は、「5SやKYはリスク低減のための活動だ。それらが、どの程度実施されているかの確認は、効果的なセキュリティ対策の立案に不可欠だ」と強調する。

ステップ3=代表拠点モデル工場への導入

　モデル工業を対象にOTセキュリティ対策のための各種ツールを導入し運用を始める。フォーティネットは運用のためのコンサルティングも提供し、「運用組織がない場合は、その立ち上げから着手し、組織運用とツール導入を同時に進める」（小泉氏）。

ステップ4=全拠点とサプライチェーンに展開

　モデル工場に導入したツール群を運用しながら知見を蓄積し、ベストプラクティスを構築する。それを他の拠点やサプライチェーンに横展開することで、全体のOTセキュリティを構築していく。

　全体のOTセキュリティを構築する活動では、「経産省のガイドラインが求める12項目の対策において、まずは『実施済み』とされる評価Bの達成を目指す」ことを小泉氏は提案する。上述したステップ1〜4の施策を実施すれば、「評価Bが達成できる」（同）という（図3）。

図3：経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」が求める対策項目の対策状況を確認する。図では赤い囲み部分が技術対策でカバーできる範囲。それ以外は組織・運用による対策が必要になる