Why（なぜ）の3：OTセキュリティの必要性を迫られる背景と課題【第3回】

　工場などのOT（Operational Technology：制御・運用技術）領域におけるセキュリティ対策が大きな注目を集めています。工場のDX（デジタルトランスフォーメーション）をはじめとするデジタル化や、脅威の進化、法規制対応といったキーワードが頻繁に取り上げられています。ですが、これらキーワードのそれぞれがOTセキュリティ対策の目的そのものではありません。

　OTセキュリティ対策の本質的な目的は「サイバー要因によって引き起こされる可能性のある、生産活動の維持と安心・安全を阻害するビジネスリスクの低減」です。以下では、法規制対応を中心に解説し、規制との付き合い方と課題を考察していきます。

法規制対応におけるOTセキュリティの歩み

　図1は、OTセキュリティに関連する、2000年以降の主要なインシデントと日本政府の取り組みをまとめたものです。

図1：OTセキュリティ関連の主要なインシデントと日本政府の法規制対応の歩み

　2000年は米国でフォーティネットが設立された年です。同年に国内では「IT基本法」が成立し、内閣官房に「情報セキュリティ対策推進室」が設置されました。当時は「情報セキュリティ」という言葉が用いられ、主に情報資産に焦点を当てた機密保持が重要視されていました。

　2010年にイランの核燃料施設を攻撃したマルウエア「Stuxnet」の事案などを受けて国内でも、「情報セキュリティ」からサイバー空間を意識した「サイバーセキュリティ」という言葉が使われるようになりました。2014年に施行された「サイバーセキュリティ基本法」はサイバーセキュリティを「サイバー空間における『不正な活動による被害の防止のために必要な措置を含む』とし『その状態が適切に維持管理されていること』を意味する」と定義しました（サイバーセキュリティ基本法 第二条より抜粋）。

　つまりサイバーセキュリティとは「サイバー攻撃から自社ネットワークを守るだけではなく、ネットワークを安心・安全に利用できるように維持・管理する必要がある」と解釈できます。

　OTセキュリティに関する法規制対応が先駆的に進められたのは電力事業者向けです。2016年に「電力制御システムセキュリティガイドライン」が策定されました。背景には、前述のStuxnetや2015年にウクライナで起きた電力網に対するサイバー攻撃（BlackEnergy）による停電など、制御システムへのサイバーリスクの高まりと、東京オリンピック・パラリンピック競技大会の開催があると考えられます。制御システムが標的になれば社会基盤に直接的な被害を与えることが明確だからです。

　当時国内では、地震や台風といった自然災害への対策は進んでいる一方、サイバー攻撃への備えは不十分だと認識されていました。特に電力インフラは、社会機能の基盤であり、その脆弱性が攻撃されると国全体に重大な影響を及ぼす可能性があります。

　また当初は、サイバーインシデントの侵入経路の多くがIT（Information Technology：情報技術）側からでしたが、OT側からの侵入経路も注目されるようになりました。その頃から、単なるITのサイバー空間にとどまらず、製造現場などOTの物理空間も含めた「サイバーフィジカル空間」という概念が用いられるようになりました。

　そして2022年、経済産業省が『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』を公開します。工場のデジタル化やスマートファクトリーの普及に伴ってサイバー空間から物理的な被害を引き起こすリスクが高まる中で、工場全体のセキュリティ強化を目的に、やるべきことを次の3つに分類し、実効性のあるセキュリティ対策を推進しています。

ステップ1 ：内外要件（経営層の取組や法令等）や業務、保護対象等の整理
ステップ2 ：セキュリティ対策の立案
ステップ3 ：セキュリティ対策の実行、および計画・対策・運用体制の不断の見直し（PDCA：計画・実行・評価・改善サイクルの実施）

　さらに2023年、名古屋港におけるサイバー攻撃をきっかけに国土交通省が、港湾を重要インフラの1つに加えています。以後、国家の安全保障に関連する事案に備えるために「サイバー安全保障」という言葉も使われるようになりました。国を1つの企業と見立てれば、「サイバーセキュリティが国の経営課題である」という表現が的を射ていると言えます。

　昨今ではサイバーインシデントのニュースが日常的に報じられるようになりましたが、上述したように、この20数年間でOTセキュリティの環境と取り組みは大きな変化を遂げており、その重要性は増すばかりです。