- Column
- 工場のレジリエンスを高めるためのセキュリティ対策の実際
“ステークホルダーを守る”工場セキュリティ対策が重要に【第7回】
前回、工場のセキュリティ対策に対し、教科書的な規格に基づく取り組みでは、法令違反を起こしやすいことと、その課題の解決策を解説した。特に「自社を守る」という視点のみの対策は不十分である。今回は「ステークホルダーを守るという観点から、工場のセキュリティ対策を検討する際に重要な説明責任の果たし方について解説する。説明責任では網羅性と妥当性が重要である。
本連載で指摘してきたように我々は現在、第4次産業革命の時代に突入している。そこでは、あらゆるモノがネットワークに接続され“スマート化”が図られる。工場も同様に、スマートファクトリーに向けた取り組みが進められている。生産設備に搭載したセンサーで得られた情報をクラウド上で解析し、結果をフィードバックすることで生産設備の挙動を最適化し、生産性や品質の向上を図る。
現状のセキュリティ対策は「自社の被害を守る」ことに留まっている
工場では以前からネットワークを活用してきた。だがスマートファクトリー化に伴い、生産設備、検査設備、浄化設備が状態監視などを目的にインターネットにも接続されたことで、工場がサイバー攻撃を受ける可能性は格段に増加し、セキュリティ対策の重要性が増している。その重要性は多くの企業が認識しており、工場のセキュリティ対策が推進されている。
しかし、これまで工場におけるセキュリティ対策は自社を守るために実施されており、多くの企業が推進している工場のセキュリティ対策では、残念ながら「ステークホルダーを守る」という視点が抜けている。インターネットに接続されていない工場では被害も限定的で、場当たり的な対策でも大きな問題はなかったこともある。
結果として、以下に示すような「自社の被害を防止する」という視点に留まり、競争優位を保つための製造レシピや故障時に交換費用がかかるような高価な設備に重点的な対策がされているのが現状だ。
●製造レシピを保管しているデータサーバーなどがサイバー攻撃を受けることにより製造レシピが流出し、競争力が低下する
●生産設備がサイバー攻撃を受けることにより、工場の稼働率が低下し、生産数が減少する
●生産設備がサイバー攻撃を受けることにより、故障等が発生し、生産コストが上昇する
このような自社被害を避けることは、もちろん重要だ。だが、この視点だけでは、最終顧客を含むステークホルダーの被害を防げず、企業としての存在意義を問われかねない。「ステークホルダーの被害を防ぐ」という視点がなければ、工場がハッキングをされた場合、工場が加害者になり、ステークホルダーに対し表1に示すような被害を発生させる可能性が生じる。
| ステークホルダー | 被害例 |
|---|---|
| 最終顧客 | 検査設備がサイバー攻撃を受けると不良品が検知されずに出荷され、最終顧客は不良に気づかずに購入する。不良が自動車のブレーキといった重要な部品に起これば自動車事故につながる可能性があるなど、顧客の生命をも脅かす |
| 地域住民 | 食品加工の工場の浄化設備がサイバー攻撃を受け動作不良になり、加工時に排出される汚水を処理できなくなる。そのまま海に放流してしまえば地域環境を汚染する |
| 従業員 | 生産設備がサイバー攻撃を受け誤動作を起こしてしまう。生産設備と従業員の接触による怪我や、生産設備から危険物質が漏洩し健康被害が発生する |
| 取引先 | 生産設備がサイバー攻撃を受け生産が停止し、取引先へ製品を納入できなくなり、取引先での生産が停止する |
| 株主 | 生産設備がサイバー攻撃を受け生産が停止し、生産減少に伴う利益の低下、それに伴う株価の低下が発生する |