製造業において、DXが加速する一方で、サイバーセキュリティの課題が深刻化しています。これまで物理的に隔離されていたOT（Operational Technology：運用技術）領域が、ネットワークやクラウドと接続され始めたことで、ITと同様にサイバー攻撃の対象となるリスクが増しているのです。

本記事では、フォーティネットジャパン合同会社 OTビジネス開発部 部長の佐々木弘志氏へのインタビューをもとに、工場の現場から始めるセキュリティ対策の重要性についてひも解いていきます。

お話をうかがった方

製造業を取り巻くセキュリティ環境の変化と現場の課題

ーまず、製造業における昨今のセキュリティ事情についてお聞かせください。

佐々木氏「現在、ネットワーク更改に際し、工場をITやクラウドとつなげたいというニーズは非常に高まっています。ただし、どうつなげば良いのか分からないという現場の声も多くいただきます。工場の環境は、旧式のWindows端末やサポートが終了したOS機器やシステムなどが多く、ITとOTの接続に躊躇しクラウド活用やITとの連携が進まない企業が多くあります」

ー大企業と中小企業では、課題に違いはあるのでしょうか？

佐々木氏「大企業、特に自動車業界や機械製造や精密機械などの組み立て系工場の場合はITとOTの組織が分かれていて、それぞれが独立した運用を行っている場合があります。この結果、部門間の壁が高くなり、統一的なセキュリティ対策が難しくなっています。中小企業ではより人手不足が深刻で、OT側のネットワークが無秩序にITシステムやインターネットに接続されている無法地帯のようなケースも少なくありません。
また、よく見かけるのが『二本足サーバー』です。生産管理や分析のサーバーがOTとITの両方のネットワークに接続されている状態で、見た目には分離されているようですが、サーバーが攻撃の踏み台となる構造であり、ひとたび攻撃されれば、両方の環境が一気にリスクにさらされる構造になっています。
このように、現場にはネットワーク設計の不備、部門間の断絶といった課題が多く、サイバー攻撃発生の温床になっている といえます」

ーほかにはどのような課題がありますか？

佐々木氏「近年の研究開発では、GitＨubやオープンソースの活用が進んでいますが、脆弱性管理が大変です。SBOM（Software Bill of Materials: ソフトウェア部品表）などを用いた継続的な管理が必要になります。また、本社と工場系がつながったことで、勘定系システムにランサムウェアが感染し、受発注システムが止まってしまい工場生産に影響がでてしまうということもあります」

工場向けの特別なマルウェアはない

ーOT領域ではどのようなサイバー攻撃のリスクがあるとお考えですか？ OT専用のマルウェアやPLCファームウェア改ざんなどがあるのでしょうか？

佐々木氏「OTだからといって、特別なマルウェアが使われているわけではありません。実際には、ありきたりなWindows端末が感染するだけで工場の稼働が止まってしまいます。わざわざOT専用のマルウェアやPLCのファームウェアを改ざんするといった手間をかけなくても、標準的な攻撃で十分に目的が達成できてしまうのが現状です。OT環境では、多くの場合OSがアップデートがされておらず、ネットワークではポートが開放されたまま、認証や暗号化が未実装、セグメンテーションも未実施など、攻撃しやすい環境 だと言えます」

ー以前からある課題が多いですね。なぜ今OTセキュリティに取り組むべきなのでしょうか。

佐々木氏「先ほどはITとOTがつながることによるリスクについて述べました。もう一つの課題として、サプライチェーンとの関係 が大きく影響しています。最近では、取引先から『御社ではサイバーセキュリティ対策を講じていますか？』と確認されることが当たり前になってきました。これに答えられなければ、取引継続に影響が出る可能性があります。
部品調達や受発注など、ほとんどの業務がデジタル化されている中で、ひとたびファイルサーバーが攻撃を受けて取引情報が漏洩すれば、相手先にも多大な迷惑をかけることになります。つまり、サプライチェーン全体の信頼性を守るために、自社のセキュリティ対策が求められているのです」

現場に根ざすために超えるべき壁と解決の方向性

ーOTセキュリティを現場で推進する上での課題は何でしょうか？

佐々木氏「最も大きいのは現場である OT側とIT側の相互理解が進んでいない ことです。例えば、資産管理ひとつとっても、IT部門はセキュリティ視点で資産管理をしたいと考えますが、OT部門にとっては資産管理そのものの優先度は高くなく、『生産を止めないこと』が最優先事項です。この価値観のギャップが、取り組みの足かせになっています」

ーOT側とIT側の認識の違いがあるということですね。

佐々木氏「はい、共通認識を持つことが重要 です。もともと、現場リスクは自然災害や事故、不注意などが起因となることがほとんどで、サイバー起因となることはまれでした。従って、OT側は、サイバーセキュリティリスクを現場リスクではなく、コンプライアンス違反への対応と捉えていたため、対策が形骸化しやすい状況があります。しかし、昨今ではデジタル化に伴い現場との関連が多くなり、サイバーセキュリティリスクと現場リスクの関連が強くなってきています。また、取引先から受託した設計図や原価情報などを守ることは現場としても重要であるため、情報漏洩の対策の重要性も併せて高まっています」

ー人材ギャップもありそうですね。

佐々木氏「理想としてはOT側に現場リスク管理としてセキュリティが分かる人を置いた方が良いということです。CSIRTの工場版であるF-SIRT（ファクトリ－サート）のようなものです。
OTとITの間での責任分解点はもともとありません。なぜなら、現場リスクはOT側が管理するべきだからです。しかし現状は、OT側にサイバーセキュリティリスクを検討できる人材がいないため、人材のギャップが生じています。ここは、IT側の知見を借りて協力して立ち上げていくのが本来のあるべき姿かと思います。セキュリティの運用については、内製で対応する場合もありますし、MSSのような外部サービスに監視を委託する形も考えられます」

ー製造業はまず何から取り組むべきでしょうか？

佐々木氏「経済産業省の工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインに基づいたチェックリストを用いて、現場のセキュリティ状況の見える化から始めるのが良いと思います。この結果をもとに、経営層に工場セキュリティ対策の必要性を伝えます。サイバーセキュリティを現場のリスク管理の一部として位置付けるためのツールとして、活用してほしいです」

セキュリティはもはや『コストではなく、ビジネスに参加するための条件』になっている

ー最後に、製造業の皆さまへのメッセージをお願いします。

佐々木氏「セキュリティ対策を講じていなければ、もはやビジネスに参加できない。 これは決して大げさな話ではありません。自動車業界のような規制ガイドラインもありますが、ガイドラインがない業界でも取引先から求められて、対応できなければ、調達の対象から外されていきます。取引先が被害にあってしまうと自社も困るからなるべく弱い鎖を減らしていくということです」

ーありがとうございました。

フォーティネット佐々木氏のお話から、現場とITの分断、人材不足、ルール未整備など多くの課題がありますが、それらを乗り越える第一歩は、「なぜ対策するのか」という目的意識を共有し、現場の人が「自分たちで工場を守る」という意識を持つことが、何よりも重要であると伝わります。セキュリティ対策はコストではなく、取引先に対する信頼を築くための「投資」として取り組んでみてはいかがでしょうか。

関連ページ

関連セミナー・イベント

同じカテゴリーの記事をみる