工場などのデジタル化が進展しOTサイバーセキュリティは構築から運用の時代に

　「工場のスマートファクトリー化・DX（デジタルトランスフォーメーション）化を検討・推進する企業が増え、サイバーセキュリティは最大のリスクとして考えられている。だが関連するサプライヤーまで含めた対策を打つのは難しい。しかもIT（Information Technology：情報技術）とOTの融合が進み、難しさを増している」――。KPMGコンサルティング テクノロジーリスクサービス／ディレクターの保坂 範和 氏は、こう指摘する（写真1）。同氏は以前、電機メーカーに務めITとOTの両面からセキュリティ施策に携わった経験を持っている。

写真1：KPMGコンサルティング テクノロジーリスクサービス／ディレクター の保坂 範和 氏

OTセキュリティの一番の課題はシステム運用管理

　工場のOTシステムは、製造ラインを制御するネットワークのほか、品質管理や、発電などのユーティリティ、さらには制御ソフトウェアを開発する端末などで構成されている。IT経由せず直接クラウドに接続するケースも増えており、ネットワークを介した攻撃が増えているのが現状だ。

　それだけにOTシステムのセキュリティ対策が必要なのは明白だが、「ITとは、守るものや優先順位、対策が異なる。一番の課題とされるのがシステム運用管理だ」と保坂氏は指摘する。OTシステムを管理する計装部門や設備管理部門に対し、「情報システム部門の知見やリソースを共有・活用するには、OT／ITの融合とセキュリティの運用が重要課題になる」（同）

　だが、「OTにおけるサイバーセキュリティの成熟度はITに比べて低い」（保坂氏）という。KPMGコンサルティングの調査によれば、従業員数501～1000人の組織では、「過去12カ月以内に25件以上のインシデントが発生している」とする企業が40.9％もある（『KPMG制御システムサイバーセキュリティ年次報告書 2022』より）。サプライチェーンを含め保護する必要がある大企業でも、「業務の中断・停止」や「金銭的損失」などの実害が出ている。「医療系を狙ったサイバー攻撃の増加もあり、『負傷』や『人命の損失』も生じている」と保坂氏は指摘する。

　サイバー攻撃による工場の経営リスクとしてKPMGは、（1）C（機密性）、（2）I（完全性）、（3）A（可用性）、（4）H（健康）、（5）S（安全性）、（6）E（環境への影響）の6つを挙げる（図1）。

図1：KPMGが挙げるサイバー攻撃による工場の経営リスク