- Column
- 事業を守るOTセキュリティ〜なぜ(Why)・どう(How)守るべきか
How(どう)の3:OTセキュリティの本質は日常業務に根付かせることにあり【第6回】
これまで、OT(Operational Technology:制御・運用技術)セキュリティの重要性と、その実行策を解説してきた。今回は、OTセキュリティ対策の進め方の本質として、工場ネットワークを脅威から守ること“だけ”に注力するあまり見落とされがちなポイントについて、筆者が経験してきた事例を交えながら解説する。
工場のDX(デジタルトランスフォーメーション)に対し、OT(Operational Technology:制御・運用技術)セキュリティの重要性や、脅威の進化、法規制対応といったキーワードが頻繁に取り上げられています。ですが、これらキーワードはOTセキュリティ対策の目的ではありません。
一見、「セキュリティ対策 = ネットワーク防御」で十分に思えるかもしれません。しかし、そうした思い込みには注意すべきです。責任組織の所在の不明確さ、運用プロセスのあいまいさ、協力会社の管理体制の不備など、人のオペレーションに起因するリスクを見落とせば、かえって“手に負えない落とし穴”にはまってしまう危険性があります。
OTセキュリティ対策が「未実施」または「一部実施」に留まる企業が8割も
前回、OTセキュリティ対策においては(1)組織(People)、(2)運用(Process)、(3)技術(Technology)、(4)工場サプライチェーン(SCM:Supply Chain Management)の4要素の重要性を指摘し、これら4要素を軸にして構成されている経済産業省の『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインチェックリスト』を紹介しました。
当社では、同チェックリストをベースにしたWeb診断を提供しています。チェックリストが挙げる32項目の質問に回答すれば、OTセキュリティの実施状況に対するスコアと解説を導出します(図1)。スコアは「A:実施済、手順文書化」「B:実施済」「C:一部実施」「D:未実施」の4段階評価です。
昨今の社会情勢を受け、経営層をはじめとする関係者の間でもOTセキュリティの重要性への認識は徐々に高まっており、トップダウンによる対策の推進が見られます。「組織」に関するスコアでは、「A」または「B」と評価される割合が上昇傾向にあります。
しかしながら診断結果全体を俯瞰すると、いずれの項目においても約80%が「未実施」または「一部実施」にとどまっているのが実情です。とりわけ、OTセキュリティにおいて極めて重要とされる「運用」に関しては、他の要素と比較して対策の進捗が遅れている傾向が見受けられます。
ただし「C」あるいは「D」の評価が悪いというわけではありません。むしろ、本連載で繰り返し指摘してきたように、製造業特有のリスクを自社の状況に照らして正確に把握し「何を・どこまで・どのように」対策すべきかを理解することが、実効性あるセキュリティ対策の第一歩であると考えます。
「運用」と「工場サプライチェーン」への取り組みが特に遅れている
Web診断結果によれば、4要素に対する「対策済と評価した拠点の割合」は図2のような結果になります。「組織」と「技術」の領域での対策率も20%程度ですが、「運用」と「工場サプライチェーン(SCM)」の領域での対策率は14%程度にまで下がります。以下に(1)組織、(2)運用、(3)技術、(4)工場サプライチェーンのそれぞれでの対策における留意点を挙げます。
組織的対策
工場においてセキュリティ責任体制(組織)が整備されていないケースは少なくありません。そもそも工場に対するセキュリティの考慮がなされていない状態では、現場側に明確な体制が存在しないことが多く、結果、ルールを策定しても形骸化してしまう可能性があります。
本社側には十分な体制が構築されていたとしても、その存在を現場が認識していなければ、実効性は限定的です。インシデントが発生しても、本社側に報告が上がらないといった事態も想定されます。単に体制を「作る」だけで満足するのではなく、実際にガバナンスが機能しているかどうかを確認し、運用に落とし込むことが重要です。
さらに教育面においては、情報セキュリティ教育のみが実施されている企業も多く見受けられます。守るべき資産は情報に限られません。工場として発生してはならない事象とサイバー要因とを結びつけ、現場に即したセキュリティ教育を浸透させることが求められます。