OTセキュリティ対策では事業者自らがリスクを認識し対策を打つ

　「企業間で、さまざまなデータが高度に連携されるDX（デジタルトランスフォーメーション）の時代、会社がセキュアであるということは、もはや前提条件であり、ビジネスの参加条件だ」──。フォーティネットジャパン OTビジネス開発部マネージャーの小泉 和也 氏は、こう指摘する（写真1）。

写真1：フォーティネットジャパン OTビジネス開発部 マネージャーの小泉 和也 氏

経産省はセキュリティ管理の合理化とガイドライン対応など対策強化を求める

　そのため産業・エネルギー関連インフラを対象にした法規制が強化されている。経済産業省は、IoT（モノのインターネット）やAI（人工知能）など先端技術を活用した保安領域でのセキュリティ管理の合理化を進めると同時に、保安管理者制度の新設や各種ガイドラインへの適合要件の追加など、さらなる対策強化を求める。

　小泉氏は石油精製プラントのエンジニアの経歴を持つ。出身のエネルギー業界では2023年12月、「認定高度保安実施者制度」が新たに施行された。その認定要件の１つとしてサイバーセキュリティの確保が組み込まれている。

　2022年10月に施行された『自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン』では、発電・送配電といった電気事業者だけでなく、遠隔監視・電力制御システムを持つ自家発電設備や工場、ビルなども広く対象になった。小泉氏は「同ガイドラインは『推奨』項目が大半で『事業者みずからがリスクを認識し対応すること』が求められている」と強調する。

　OT（Operation Technology：制御技術）の現場では、「サイバーシステムに物理的な運用管理や人の行動が連携し、それぞれにリスクが存在する」（小泉氏）。それらは複雑になりがちで、そこでのリスク管理の考え方として小泉氏は、製油所の安全管理でも活用されていた「スイスチーズモデル」を紹介する（図1）。

　スイスチーズモデルは、IT（Information Technology：情報技術）／OTシステムにおける技術・運用・組織の、それぞれに存在する不完全な状態を“穴の開いたチーズ”に例えたもの（図1）。その穴をリスクがすり抜けたときに事故が発生する。「それを防ぐには、チーズの枚数を増やす、つまり多層防御を実施する。実効性を高めることで各層の穴を小さくする必要がある」（小泉氏）わけだ。

図1：スイスチーズモデルは、IT／OTシステムに存在する“不完全”な状態を“穴の開いたチーズ”に例える