How（どう）の3：OTセキュリティの本質は日常業務に根付かせることにあり【第6回】

運用的対策

　運用面においては、特にセキュリティインシデント発生時の対応および復旧フローが未整備の企業が多数を占めています。前回述べたとおり、セキュリティ対策は「予防」と「事故対応」の二軸で構成されます。ですが、100%の防止は現実的ではなく、有事に備えた体制整備こそが重要です。その体制を担うのが「運用」なのです。運用体制が不十分な場合、インシデント発生時に適切な初動対応ができず、被害の拡大や復旧の長期化を招く恐れがあります。

　一方、USBメモリーなど外部記憶媒体に関する管理ルールについては、一定の整備が進んでいる企業が多く存在します。ただ工場環境では、インターネット接続が制限されることが多く、依然としてUSBメモリーを介したデータ移行が一般的です。現場の実情に即したリスク認識とルールの整備が不可欠です。

　資産管理の対象をOA（Office Automation）系ネットワーク上のPCに限定している企業も見受けらますが、保護すべきは情報資産に限りません。管理対象外のデバイスの通信状況から、未知のネットワーク接続が判明するケースが、多くの現場で確認されています。対象範囲の明確化に加え、煩雑さや不確実性を回避する観点からも、適切なツールの活用が有効であると考えます。

技術的対策

　技術的対策については、他の領域に比べ、やや進展が見られるものの、実施率は2割程度です。例えば、Windowsパッチやアンチウイルスソフトの対策がOAネットワークのみに限定されており、工場の端末は対象外となっているケースが目立ちます。

　工場では、パッチ適用に伴う影響が大きく、タイミングの調整も難しいため、現実的な運用上の課題が存在します。サポートが終了した基本ソフトウェア（OS）を使用し続けることによるリスクの認識は重要ですが、場合によってはサポートが終了したOSを使用し続けることをどう許容するかを含め、仮想パッチの導入など代替手段の検討が望まれます。

　ネットワークを分離しているように見えて、1台のサーバーに複数のNIC（Network Interface Card）を搭載し、複数のネットワークに接続している構成も依然として多く見受けられます。かつては境界分離の手法として一般的でしたが、現在では、攻撃者に一度乗っ取られてしまうと、ネットワーク侵入の踏み台にされるリスクが指摘されています。とりわけ、外部ネットワークと自社閉域網の両方に接続されているケースでは早急な見直しが必要です。

　さらに、機器ベンダーが設置したリモートアクセスによって、外部から工場ネットワークへ直接通信が発生している例も確認されています。

工場サプライチェーン（SCM）対策

　工場サプライチェーンの領域では、調達品に関する緊急連絡体制が整備されていないケースが多く見受けられます。多くは、その対応が担当者個人に依存しており、情報の迅速な把握や組織的な対応が困難な状況にあります。

　調達品に対するセキュリティ仕様が明確に定義されていないケースも少なくありません。特に、新たに接続する機器に対して、セキュリティチェックや検疫プロセスを含めた仕様策定が重要です。サプライチェーン経由によるリスクを最小限に抑えるためです。調達品だけでなく、工場へ頻繁に出入りするメンテナンス業者など外部からの入構者に対する意識づけや教育も欠かせません。

　過去には「組織や運用、サプライチェーン管理はセキュリティ対策ではないのでは」といった見方がありました。しかし、製造現場の文化を鑑みると、OTセキュリティこそ組織や運用、サプライチェーン管理、すなわち“人”の関与が極めて重要です。

　例えば、5S（整理、整頓、清掃、清潔、しつけ）が徹底されていない現場では、リスクをもたらす些細な変化に気づくことが難しくなります。これはサイバーセキュリティの世界でも同様であり、混沌とした状況下では異常の兆候を見逃してしまう可能性が高まります。従ってサイバー空間においても「整理整頓された状態」を維持することが、結果的にセキュリティの強化につながるのです。

OTセキュリティを工場の“文化とノウハウ”の一部に

　OTセキュリティは、製造業に従事する全ての関係者にとっての共通課題です。時には国家レベルの安全保障にも関わる重要なテーマへと発展し得るものです。近年の国際情勢やサプライチェーンの不安定化を背景に、実際に多くの工場でサイバーインシデントが発生しており、業務の一時停止に至った事例も珍しくありません。

　それでも平時においては、セキュリティ投資の必要性への理解は得づらく、対策が後回しにされがちです。そして、ひとたび事態が発生すれば「誰が・何を・どのように」対応すべきかが不明確なために現場が混乱に陥るケースが後を絶ちません。

　一方で製造現場には「安心・安全と生産活動の維持・向上」を守るための“文化とノウハウ”が根付いています。サイバーセキュリティも、この延長線上にあるべきです。特別扱いするのではなく、日常業務の一部として自然に取り込む姿勢が求められます。

　OTセキュリティ推進においては、経営層・IT部門・OT部門の三者がそれぞれの立場で役割を担う必要があります。しかし実際には、責任範囲や運用体制が明確でないまま、IT部門主導で製品導入のみが進められるケースが多く、十分な効果が得られない状況も見受けられます。導入後の運用・保守やルール設計、ライフサイクル管理を含めた体制づくりが不可欠です。

　「安心・安全と生産活動の維持・向上」を守るためのリスク管理において、OTセキュリティもまた重要な位置づけにあります。技術的な課題以前に、人と組織の“リスクに対する認識の差”こそが、対策を進めるうえでの大きな障壁になるのです。

　IT部門は技術的な脅威と対応に強みを持ち、OT部門は生産継続や現場運用に精通しています。両者が連携し、それぞれの視点からリスクを捉え直す必要があります。経営層にとっても、OT領域のリスクを正しく理解し、適切に意思決定することが全体最適の鍵になります。

　本連載では「何を・どこまで」対策すべきかを明確にすることを軸に、OTセキュリティ対策の実態とあるべき姿について考察してきました。対策を成功させるには、全ての関係者が“自分ごと”として捉え、行動に移す必要があります。日々の改善活動の延長線上にこそ、実効性のあるセキュリティ対策が存在するのです。筆者もOTセキュリティの専門家として、現場と経営、ITとOTの間をつなぐ“懸け橋”としての役割を果たしていきたいと考えています。