• Column
  • 実行性が問われる産業サイバーセキュリティ

TOPPAN、竹中工務店、三菱電機の実務担当者が語るOTセキュリティの最前線

「重要インフラ&産業サイバーセキュリティコンファレンス」のパネルディスカッションより

木村 慎治
2025年4月10日

ASMでは実際に対策を講じる担当者への意識付けが重要に

長谷川 :セキュリティ業務での注力ポイントはどこでしょうか。特に、近年頻発しているインターネットレイヤーからの攻撃やASM(Attack Surface Management)に関連する対策などはどうでしょう。

鈴木 :竹中工務店ではインターネットに露出する資産を守るため、2021年からASMツールを導入し運用しています。未知のリソースや予期せぬドメイン、IPアドレスの出現、ID・パスワードの漏洩など多くのアラートが発生する中で、資産管理、特にライフサイクル管理の重要性を改めて認識しています。

佐藤 :三菱電機では2019年にASMツールを導入しアタックサーフェスマネジメントに取り組んでいます。自社のWebサイトは登録制で管理するようにしていますが、自己申告制のために漏れがある懸念があったためです。運用に当たっては、当社グループ会社と連携し体制を整備しています。ただ想定外の資産を発見できても、問い合わせ先を特定し、迅速な是正を促す点で苦労することもあります。

坂田 :TOPPANでは2020年頃からOSINT(Open Source Intelligence)ツールを活用してアタックサーフェスマネジメントを開始し、現在はレーティングサービスを併用しています。TOPPANグループの各会社や委託先などサプライチェーンへの是正を指示しています。

 ASMの課題としては、ツールでリスクと判断されても、実際には対策済みのケースがあり、システム管理者との対話が重要になる点です。ASMは管理者の設定漏れや更新忘れなどの対策のために是正指示をしていますが、受け手が脆弱性診断と受け取る傾向があるため、意識改革が必要だと感じています。

長谷川 :ASMは実際に対策を講じる際の担当者への意識付けが難しいですね。ASMツールで明らかになった課題を踏まえたリスク管理対策は、どのように考えていますか。

坂田 :TOPPANでは、外部公開するシステムは脆弱性診断後にリリースするなどの対応を取っています。しかしASMツールで検出された同一のリスクでもツールによってリスクレベルが異なるため、各社で適切な修正方針を整備しないと受け手は混乱を招きます。当社でリスクを許容しても多くの企業がそのリスクを修正していると「修正すべき」と見なされることがあります。いわゆる「ブランドリスク」の観点でも今後はリスク管理を見直す必要があると考えています。

鈴木 :現代のシステムはスマートやコネクティッドといったコンセプトを持つものも多く、インターネット接続が前提のため、インターネットと通信しないという選択はあまり現実的ではありません。まずは資産管理と監視を徹底し、目的に沿った運用を心がけることが重要です。

 ただ、その労力が、どれだけリスク低減に直結するかは議論の余地があります。例えば、従来は固定IP管理が重要でしたが、クラウド時代ではIPが動的に変わるため、管理の効果に疑問が生じています。中長期的には、リソースを初めからインターネットに露出させない安全なアーキテクチャーの普及が必要だと考えています。

佐藤 :三菱電機では、ASMツールを使って新たに発見されたリスクや脆弱性に対して是正措置を講じる体制が整っています。しかし、海外の関係会社では体制や人員不足のため迅速な対応が難しいケースもあり、グローバルに一律で同一水準の対応になっていないのが課題です。

OTセキュリティでは現場視点で対策を打てる体制や人材が必要に

長谷川 :OTセキュリティについて、どのような体制を整えていますか。

坂田 :TOPPANではOTセキュリティを「工場セキュリティ」と位置付けて施策を進めています。スマートファクトリー化に伴ってセキュリティの見直しを進める中、PPT(People Process Technology)を意識して対策を進めています。

 そこで最初に取り組んだのが2023年の『TOPPAN工場セキュリティガイドライン』の作成・発行で、それを元に統制を整え体制を見直しています。リスクアセスメントは各工場の関係者とセキュリティ担当が協力することで、従来の各部署単位から工場全体でのセキュリティ対策へと移行しています。

長谷川 :OTセキュリティへの対応では、統括部門のみならず現場部門を含めた、多くの人材が必要です。現場と連携し、それぞれに合わせた教育を進めながらセキュリティ意識を高め、仲間として取り組むことが重要ですね。

鈴木 :竹中工務店には常時、全国に数百カ所の建設工事現場が拠点として存在し、それらが工事竣工までの1~2年程度の有期です。現場ごとに環境の違いもあり、現場における人材育成が難しいのが実態です。

 ただ最近は、顧客からのセキュリティ要件に応じて本支店と連携する中で現場の意識も高まってきています。各現場が顧客ニーズを丁寧に把握し、重要なセキュリティ事項は本社が対応する形を目指しています。なるべく固定機器は設置せず、工事開始時にクラウドサービスやSaaS(Software as a Service)を契約し終了時に解約するため、SaaSセキュリティも重視しています。

佐藤 :三菱電機のコーポレートセキュリティ部署は元々、ITセキュリティの出身者が多いのですが、そこに製造現場の出身者も迎え、今は共に活動しています。内部の勉強会などで相互理解を深め、ガイドラインを現場視点で使えるよう努力しています。