• Column
  • 巧妙化する攻撃から事業継続を守り抜く、重要インフラ&産業サイバーセキュリティの今

“特殊”ではなくなった「操業停止」、事業継続に必要なOTセキュリティ対策とは

「第10回 重要インフラ&産業サイバーセキュリティコンファレンス」のパネルディスカッションより

篠田 哲
2026年5月12日

サプライチェーンの課題は“サイバー”の視点だけでは解決しない

青山 :サプライチェーンの依存関係は自然災害のBCPとも共通する課題を抱えています。渡辺先生、この複雑な構造をどう捉えるべきでしょうか。

渡辺 研司 氏(以下、渡辺) :名古屋工業大学 教授の渡辺 研司です(写真4)。サプライチェーンにおいては、直接的な取引関係は見えていても、その“先の先”は見通せていないのが現実です。

写真4:名古屋工業大学 教授の渡辺 研司 氏

 例えば自動車産業では、かつてのピラミッド型構造が、現在は網の目のように絡み合うダイヤモンド型へと変貌しています。そこには一見分散しているようでいて、実は特定の中小企業がボトルネックになる集中リスクが内包されています。

 産業構造は動的に変化し続けているため、サプライチェーンの深部は「災害や事故が起こり、実はリスクが集中していた企業の事業が止まって初めて、そこに重要なプレイヤーがいたことが分かる」という性質を持ちます。それの完璧な可視化を“サイバー”の文脈だけで実現しようとするのは、正直なところ不可能に近い試みだと考えています。

青山 :サイバー分野だけでなく、組織の危機管理部門(クライシスマネジメント)と連携し、セキュリティチームが本来の技術的タスクに集中できる仕組み作りが重要になりますね。復旧までの道のりを可視化する際、情報の取得で何が一番難しいと感じますか。長谷川さん、何か知見があればお聞かせください。

長谷川 :サイバーBCPの観点からいえば、サイバー攻撃を受けて委託先などサプライチェーン上で事案が発生した際に、自社の業務に影響が出る場合があります。委託先などから「いつ再開できるか」の情報が速やかに得られないケースでは、自社内に「いつまで代替対応を続ければよいか」を示せないことがサイバーセキュリティの担当者側としては辛いです。

 そうしたケースにおいて必要になるのは、再開時期の情報そのものではなく「自社の業務部門が、いつまでなら耐えられるか」という限界点と、それを超えた際のリソースの見積もりを事前に準備しておくことです。

渡辺 :それこそがBCPの本来の役割です。重要業務が依存している外部の仕組みが止まった際、代替手段をどう講じるか。FAXや紙でのオペレーションを知らない世代が増えている今、アナログな代替手段も含めて計画に反映しておく必要があります。

佐々木 弘志 氏(以下、佐々木) :IPA 産業サイバーセキュリティセンター サイバー技術研究室 専門委員で名古屋工業大学 客員准教授の佐々木 弘志です(写真5)。「予防的停止」についても補足させてください。

写真5:IPA 産業サイバーセキュリティセンター サイバー技術研究室 専門委員で名古屋工業大学 ものづくりDX研究所 客員准教授の佐々木 弘志 氏

 予防的停止には2つの“質”があります。単に「怖いからとりあえず止める」と、状況を把握した上で「その後の段取りを描いて能動的に止める」です。両者の信頼度は圧倒的に異なります。地震が来た際にどう動くか、事前に段取りを描けているかどうかが組織の強さを分けます。

コストを理由に対策を打たない経営者は失格

青山 :対策の多様化やBCPの強化には当然、コストが伴います。DXによる効率化とセキュリティによるコスト増のジレンマは、どう突破できるでしょうか。

:コストを理由に対策を打たない経営者はクビ、失格です。南海トラフ巨大地震の発生確率が高いと分かっていながら「自身の在任期間中には起きないだろう」と対策を先送りし続ける姿勢と同じです。システムが止まった際の損失と比較すれば、投資の判断は自ずと定まるはずです。

 一方でセキュリティベンダーにとってはチャンスでもあります。事業者が「コストで踏み切れない」というなら、その課題に応えられる安価で効果的な製品を作るのがベンダーの使命です。

佐々木 :技術者の視点から言えば今後は、生成AI技術がマルウェアに組み込まれていくことを注視すべきです。そうなると、単にOS(基本ソフトウェア)やデータベースを変える“多様化”だけでは通用しなくなる可能性があります。技術の動向を見極め、コストを含めた“守りの最適解”を出し続けるのが、これからの技術者の仕事になります。

古川 文路 氏(以下、古川) :ロボット革命・産業IoTイニシアティブ協議会 産業トラストワーシネス・セキュリティAG 委員の古川 文路です(写真6)。 欧州では既に「NIS2指令(改正ネットワーク及び情報システム指令)」が施行されています。対象範囲が拡大され、対策の義務化や罰則の強化、さらには経営層の責任も明確化されました。クビどころか刑事罰が科せられる状況になったことで経営層の意識が劇的に変わり、セキュリティコストを「必要経費だ」と捉える動きが加速しています。この大きな流れは日本企業にも波及するはずです。

写真6:ロボット革命・産業IoTイニシアティブ協議会 産業トラストワーシネス・セキュリティAG 委員の古川 文路 氏

佐々木 :規制があることで経営の優先順位にセキュリティが入る効果は確かにあります。NIS2規制のように「リスクを実際に減らしているか」「経営層を教育しているか」といった実効性を問う要件が含まれている点は評価できます。