機能の導入だけで安心せずOTとITが交流し継続的な更新が不可欠【第3回】

製造機器と人に対する定期的なメンテナンスと交流が不可欠

　OT技術者はエンジアリングの専門家であり、さまざまな知識を有している。だが専門外のセキュリティについては十分とは言い切れない場合が多い。一方、IT技術者は、上に挙げた脆弱性については情報収集していることがあっても、修正パッチなどの適用について、設備の稼働状況に影響を与えることが多い現場設備に対して強く進言できない。両者のミュニケーション不足により、製造現場へのOTセキュリティをうまく適用できない場合が多い。

図3：OT技術者とIT技術者の課題

　これらの課題を経営者も理解できていない場合も多い。それだけに、全体最適化を図る動機が誰にも働かないことにも注意が必要である。現場のトップの強い関与がなければ、OT技術者とIT技術者の課題の解決は難しい。

　多くのケース、特に日本では「OTはOT、ITはIT」と縦割りの構造になっていることが多く、異なる文化の交流がしづらい雰囲気がある。OT側では、セキュリティを自工場に関係あるものとして扱うことや、IT側を課題だけを持ってくる組織や人として誤解しないことが大切である。

　IT側では、セキュリティはITの領域だけでなんとか対応するのではなく、OTの領域まで踏み込むことが大切だ。具体的にはOTの運用や技術の習得である。OT側は“現場”をとても大切に考えており、表面的な対応を見抜くことが多い。OT側の苦労や大変さを把握することが、セキュリティの維持管理には必要不可欠である。

　OTとITの文化交流を図りながら、互いの課題感や自工場に関する重要性を共有し、セキュリティの更新に継続的に取り組むことが大切である（図4）。

図4：OT技術者とIT技術者が文化交流を図り縦割りを脱却する

　特にOTには古くから「ISO9001」のような品質重視の文化、つまり「品質は組織を挙げて継続して改善をし続けなければならない」という文化が根付いている。この文化をセキュリティにも広げ、品質および安全に適用することは、少しの努力で可能であり、なんら難しくないことだと考える。

　次回からは、セキュリティの“教科書”とされている国際標準や公開ガイドラインを題材に、効果的なセキュリティ投資の方法を解説していく。