工場セキュリティは製造業が使命を果たし価値を創出するための手段【第8回】

責任を果たすためと価値創出のための両輪で実施する

　まとめると、各責任を果たしてユーザーとステークホルダーを守っていくために必要なセキュリティとしての取り組みと、価値を創出するためのセキュリティとしての取り組みを両輪で実施していくべきである（図5）。具体的には前者ではOT（工場やプラント）のリスクを分析し対策を講じるなどであり、後者はOTセキュリティの取り組みで生産される製品の価値の毀損やコスト逼迫を招かないようにすることなどだ。

図5：企業が取り組むべきセキュリティの“両輪”

　ここで注意したいのは、責任を果たすことと価値を創出することの順番を間違えないことである。先に責任を果たすことを考えなければならない。責任を果たすために必要不可欠なセキュリティの取り組みを企画の時点から組み込み、検討しておく必要がある。社会にお役立ちを提供したうえで、その対価を受け取るという適切な順序を守るのが加害者視点のOTセキュリティだ。

OTセキュリティの知見はネット上には、まだ公開されていない

　そうしたOTセキュリティに取り組む際の指針になるのが「IEC62443」などの規格やガイドライン、デザインパターンといった知見である。規格やガイドラインの活用において、メーカーには意志を持った適切な取捨選択と解釈が求められる。これらの規格やガイドラインは、あくまでセキュリティ対策の1つの目安だからだ。

　特定の規格やガイドラインを鵜呑みにしてしまうと、本来の目的を達成できない場合が当然あり得る。従ってここでも、先に果たすべき責任の内容をまず理解したうえで、IEC62443などの規格やガイドラインは、それを実現するための参考書として活用すべきである。

　デザインパターンや実践知、アルゴリズム（仕組み化）といった知見の例にゾーン・コンジット設計やパデューモデルがある（第6回参照）。これらの知見も杓子定規に導入するのではなく、各企業にとっての適切な解釈を持って取り組んでいく必要がある。他にも、さまざまな知見があるため、有益な情報を広く収集する力も求められる。

　ただOTセキュリティの知見は、インターネットで公になっていない部分も多い。セキュリティ対策の実施に当たっては専門家に相談する必要もあるだろう。

　繰り返すが、企業活動の基本は「責任を果たしたうえで、価値を創出していく」ことである。そのための重要な施策の1つがOTセキュリティなどのセキュリティ対策だ。言い換えれば、社会から信頼を得てビジネスをすることに他ならない。不確実性の高い今の時代において、とても重要な施策である。

　本連載で述べてきた審美眼を基にセキュリティ／OTセキュリティに取り組むことで、社会からの信頼を得て、継続的に広くお役立ちができる企業が増え、社会が発展していくことを願う。