• Column
  • 実行性が問われる産業サイバーセキュリティ

パナソニックHD、グループ全体のOTセキュリティ統合管理体制を確立しSOCノウハウの外販も

「重要インフラ&産業サイバーセキュリティコンファレンス」より、パナソニックHD サイバーセキュリティ統括室(兼)製品セキュリティセンターの松本 哲也 氏

狐塚 淳
2025年4月8日

OTセキュリティのための全社ルールで準拠すべき基本的な規定と標準を設定

 サイバーセキュリティ統括室がグループ全体のセキュリティ施策に横串を通したうえで、製造システムのOTセキュリティにおけるガバナンスを担うのがホールディングスの生産技術部門である。8つの事業会社と国内外に約300ある工場を対象に、生産技術部門が統一的なルールや仕組みを制定する。

 例えば、マルウェアの防止や工場内の異常検知の実現のほか、インシデント対応に向けた全社ルールとして「製造システムセキュリティ業務に関する全社規程」を定め、準拠すべき基本的な規定や標準などを設定している。

 同規程ついて松本氏は「グループのイントラネット上にある工場と製造システムは全てグループのITセキュリティに関する全社ルールに従うことを決めた。ただ工場には、ITとの相違点から実施できないことや費用対効果の課題がある。そのため業務標準において、経営者がリスクを受容する場合に最低限守るべきセキュリティ対策を決めている」と説明する。

 ルールに基づく施策としては、脅威の特定は製品セキュリティ部門が、独自のツールを開発し支援する。情報システム部門はマルウェアの混入を防止するためのファイアウォールをOA(Office Automation)環境とFA(Factory Automation)環境の境界面に設置し運用している。

 脅威の検知と対応は、製品セキュリティ部門が担当する。異常検知の仕組みなどを独自に開発し、「FSOC(Factory Security Operation Center:工場向けSOC)」として運営する。生産技術部門は「FSIRT(Factory Security Incident Response Team:工場のSIRT)を運営し、インシデントへの対応体制を構築している。これら3部門をサイバーセキュリティ統括室が束ねているわけだ。

 松本氏は「OTセキュリティの確立ではFSOCとファイアウォールの二軸で対応している。両者のベースになるように資産管理を推進すると同時に、工場内のネットワークを監視し有事に対応していく」と説明する。

 そこでのFSOCの活動は、24時間365日のネットワーク監視による異常検知が中心になる。リスクアセスメントから、ネットワーク監視、異常検知、インシデント対策の支援、外部情報の収集までを担当する。

 具体的には、工場ネットワークの全パケットを収集し、既知の攻撃に対しては市販のIDS(Intrusion Detection System)で異常を検知する。「通信パケットは工場に置くエッジサーバー上でメタデータに変換し、FSOCに収集し、AI技術を用いて自社開発した異常検知システムで、未知の攻撃を監視する。その解析結果をアナリストが見ながらセキュリティオペレーションセンターを運営している」(松本氏)という(図2)。

図2:製品セキュリティ部門が運営する「FSOC(Factory Security Operation Center:工場向けSOC)」の仕組みと位置付け

 FSOCのメンバーは、生産技術部門が主導するインシデント対応や再発防止対策を担うFSIRTとも協力している。松本氏は「300の工場全てにFSOCが必要なわけではないが、OAとFAがつながっている環境では2025年度中に100%の導入完了を目指している」と話す。

IoTセキュリティのためのノウハウは外販も

 IoTセキュリティをパナソニックでは「製品セキュリティ」と呼び、製品セキュリティ部門が担当する。製品セキュリティは、(1)出荷までのリスクの最小化と(2)出荷後のインシデント対応に分けられる。両フェーズに共通する製品セキュリティ基盤として、開発や品質管理の基本的なポリシーやルール、製品のライフサイクルを考慮したプロセスを定めている。同時に、それを運営するための人材育成にも取り組んでいる。

 パナソニックではこれまで、2003年からR&D部門が出荷前のセキュリティ診断を始め、2009年に品質管理部門へ集約した。2010年には「PSIRT(Product SIRT)」を立ち上げてきた。

 現在は、ホールディングスの製品セキュリティ部門が基本的なプロセスを規定し、事業会社の事業部が執行している。事業会社の直轄部門には、製品セキュリティの推進責任者と「IRT(Incident Response Team)」を置いて製品セキュリティのための業務を運用している。

 グループ内で展開してきた製品セキュリティのためのSOCの運用ノウハウの外販も始めている。松本氏は「製品セキュリティ部門が運営し、事業部門経由で大手ゼネコンが建てたビルや装置機器メーカーの工場にSOC機能を提供している。電力系や車載系セキュリティについても事業化を検討している」と話す(図3)。

図3:IoTセキュリティのためのSOC機能は外販してもいる

 縦割り組織が多いとされる製造業において、統合管理体制を確立しSOCの外販事業まで手掛けるパナソニックグループの取り組みは、多くの企業の参考になりそうだ。