従来の常識では成功は難しいOTセキュリティの正しいアプローチ【第2回】

　OTセキュリティで順守すべき関連法は、さまざま存在する。代表的な法令には、「PL（Product Liability：製造物責任）法」や「欧州サイバーレジリエンス法（EU Cyber Resilience Act）」などがある。これらの法令に関係しない工場でも労働安全衛生法や環境関連法など何らかの法令への順守が求められるケースが多い。

　法令順守においては説明責任が求められる。セキュリティ対策を立案する際には、誰もが納得できる有効性のある対策を立案する必要がある。そのためには、対策の有効性を客観的に示せる基準を採用しなければならない。OTセキュリティにおいて、その基準になるのが国際規格の「IEC62443」である。

　例えば、セキュリティ対策を新たに導入・更新できない古い設備を抱える工場は少なくない。これを我流で対策した場合、第三者には、その効果の有効性が図れず、訴訟になれば反証が難しい。このようなセキュリティ対策をIEC62443では「ゾーン・コンジット設計」で実施する。国際規格に基づいたセキュリティ対策は広く利用され、その効果が専門家によって検証されているため、説明責任を果たしやすい。

工場担当者とITセキュリティ担当者は知見を共有し議論する

　上述したような相違点や対策の視点がある中でOTセキュリティは、どのように進めればよいのだろうか。鍵を握るのは、ITセキュリティ担当者と工場担当者の円滑なコミュニケーションである。OTセキュリティを正しく進めるには、ITセキュリティ担当者と工場担当者が双方の知見を提供し合って議論することが重要になる（図2）。

図2：OTセキュリティでは工場担当者とITセキュリティ担当者の協力が不可欠

　初めに工場担当者は、生産に関する知見を活かし、工場内の保護すべき資産や順守すべき法令・契約を可視化する。次にITセキュリティ担当者が、セキュリティの知見を活かし、工場担当者が可視化した前提条件を元にリスク分析を実施する。リスク分析では想定被害の大きさを見積もるが、この見積りには工場担当者の知見が必要になる。

　リスク分析の結果からITセキュリティ担当者は、ラフなセキュリティ対策を立案し対策予算を確保する。ただし、具体的に、どのようなセキュリティ機器を導入するかはOTに知見のある外部ベンダーや、セキュリティ対策の運用を担当する工場担当者と連携し決定していくのが望ましい。こうした工場担当者とITセキュリティ担当者の密連携が、OTセキュリティの成功要因になる。

　今回はOTセキュリティとITセキュリティの相違点に着目し、OTセキュリティの正しいアプローチについて解説した。次回は、工場のセキュリティ責任者がITセキュリティ技術ついての理解が不十分な場合に発生する問題と、その解決方法について解説する。