スマートファクトリー化が求める工場セキュリティの新常識【第1回】

日本の製造現場ではOTとITの双方に明るい技術者が足りない

　これらの認定や規制を背景に、工場のデジタル化が進展しているのに合わせて、OT（Operational Technology：制御技術）セキュリティの重要性が増している。しかし日本の多くの製造業は、OTセキュリティの取り組みに着手したばかりだ。そこでは、以下のような担当者をアサインし問題が発生しているケースが多い。

例1：OTには明るいが、セキュリティ技術には詳しくない担当者をアサインし、大きなセキュリティインシデントが発生
例2：ITやITセキュリティ技術には明るいが、OTには詳しくない担当者をアサインし、製造遅延が発生

　このような問題を発生させないためには、セキュリティ知識と、制御システムのプロトコルやアーキテクチャー、組織プロセス、スマートファクトリーなどOT知識の融合が重要になる（図3）。

図3：日本の製造業におけるOTセキュリティの取り組みで発生している状況と望ましい状況

　セキュリティ知識、つまりITの知識とOTの知識の両方がうまく融合しないと、両方の機能が適切に発揮できず、中途半端な対応になってしまう危険性がある。日本は他国に比べ、セキュリティ人材が不足している状況かつ、そのセキュリティ教育実施に必要な時間のねん出が課題になっていることが広く知られている。両方の知識を有する人材の確保は非常に難しい。

　重要な点は、両方の技術に明るい、もしくは一方の技術に明るい人 がバランスよく協力し、最もよい折衷案を導くことである。どちらかが欠けてしまうと問題を引き起こすことが多い。“OTとITの相互扶助”が必要なのだ。

セキュリティベンダーや政府らのガイドラインへの盲従が課題に

　一方で、セキュリティベンダーが多数の製品／サービスを投入しているほか、政府や業界団体などがセキュリティ対策のためのガイドラインなどを策定し、その実施を推奨している。だが、そこにも課題が内在している。 具体的には以下のようなものがある。

・ITに明るいセキュリティ製品を扱うメーカーが、製造工場のさまざまな技術を把握できないままに、セキュリティ製品を推奨している
・米国や欧州で公開されているセキュリティガイドラインに従うものの、要件のみに注力してしまい、優先度や予算・運用の適合などが考えられない
・グローバルに脆弱性評価で活用されている指標「CVSS（Common Vulnerability Scoring System）」などの情報のみを用いてリスク評価してしまう

　これらに共通している課題は、（1）適用する対象の理解が曖昧なままセキュリティの活動に着手してしまっている、（2）世の中の情報を加工せず、そのまま自組織に組み込もうとしている、（3）本当に自組織にとって良いのか悪いのか、効果を得られるのか、ほとんど効果がないのかを理解できていない、ことである。

　次回からは、セキュリティの“通例”とされているものの効果が薄い取り組みについて、製造業のセキュリティの取り組みを題材に、その効果を高める方法を解説していく。