Column
実行性が問われる産業サイバーセキュリティ

IT／OT融合時代の包括的なサイバー対策には経営層の主導が不可欠

「重要インフラ&産業サイバーセキュリティコンファレンス」より、NTTデータの星野亮氏と横河デジタルの佐藤秀紀氏

木村慎治

2025年4月21日

OTセキュリティの重要性が高まる背景と法規制やガイドラインの強化

　横河デジタルのセキュリティ事業部シニアマネージャーである佐藤秀紀氏は、「製造現場はスマートファクトリー化し工場DXも進んでいる。外部との新しい通信経路が必要になると、そこにセキュリティリスクが発生し対応が必要になる」と指摘する（写真2）。

写真2：横河デジタルセキュリティ事業部シニアマネージャーの佐藤秀紀氏

　代表的なサイバー攻撃事例として2023年7月に発生した名古屋港のコンテナターミナルへの攻撃がある。管理システムがマルウェアによるサイバー攻撃を受けシステムが暗号化され、コンテナの搬入出業務ができなくなった。調査の結果、VPN（Virtual Private Network：仮想私設網）機器の脆弱性を突かれた可能性が指摘され、外部接続部分のセキュリティ対策の不備が攻撃要因になったと考えられている。

　こうしたサイバー攻撃の多様化・複雑化・高度化により、「産業用制御システムに特化したマルウェアやランサムウェアなどが増加し、インシデント事例がグローバルで増加している」（佐藤氏）。加えて各業界の法令やガイドラインでもセキュリティ対策を求めるようになり、OTセキュリティの重要性・必要性が高まっている。

　しかし、予算や人手が足りず「どこから何をすればいいのかわからない」といった企業も多い。そうした際は「あるべき姿は何なのか、それに対して現状はどうなのか、社内のリソースやコストを鑑み、ゴールをどのレベルに設定するかという目標設定が大事だ」と佐藤氏は提案する。

　目標設定では「経産省や業界が発行する各種セキュリティ対策のガイドラインの参照が有効になる」（佐藤氏）とする。例えば経産省の『工場システムにおけるサイバーフィジカルセキュリティガイドライン』は、資産を把握してリスクを評価する、ポリシールールを定める、技術的物理的な対策を進める、教育訓練を実施する、万一に備えて監視や事故対応も整備する、といった流れを示している。

　佐藤氏も、OTセキュリティの推進に向けたIT部門とOT部門の協力・連携の重要性を強調する。連携に当たっては、IT側ではIT／OTセキュリティ推進方針の策定やIT／OTの責任分担の定義・役割の議論、インシデント発生時の対応手順の策定や連絡フローの整備、IT／OTセキュリティ管理体制の構築、経営層への報告などが必要とする。

　OT部門では、OTセキュリティ対策ガイドラインの策定や製造に関わるセキュリティ役割へのリソース割り当て、IT部門と連携した対応手順や連絡フローの整備などを実施する。

　NTTデータとの協業で提供する支援策では、まず「セキュリティリスクアセスメント」によりOT環境のリスクを的確に把握。次に「IT／OTセキュリティポリシー・ガイドライン・プロシージャの作成支援」により適切なセキュリティ運用文書の作成を支援する。「IT／OTセキュリティインシデント対応体制構築」では、平常時・事故発生時の手順を整理して体制を構築し「IT／OT セキュリティ統合監視の導入」によりIT／OT環境を統合的に監視し、オフィスとプラントの双方に対する早期異常検知と早期復旧を支援する。

　ITとOT融合が進む中、産業ネットワークへのサイバー攻撃やセキュリティインシデントは増え、リスクが増大していく。「OT領域を含めたサイバーセキュリティ対策プロジェクトを推進するためにはITとOTの豊富な知見が必要で、特にOTの知識や経験を生かすことが大事になる」と佐藤氏は改めて強調する。