【ウェビナー解説】いまさら聞けない！工場DXを進めるための具体的なセキュリティ対策とその手順

※本記事は、2024年6月27日に開催したTXOneウェビナーの内容をまとめたものです。

はじめに

グローバルで加速度的に進む工場のDX化と、サイバーセキュリティリスク増加の現状を受けて、2024年4月に工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0【別冊：スマート化を進めるうえでのポイント】が発行されました。そこで本ウェビナーでは別冊が発行された社会的な背景と、本ドキュメントに記載されている重要なポイントを説明させていただくとともに、弊社の豊富な事例に基づき、工場のDX化を進めるための具体的なセキュリティ展開例をお話しさせていただきました。

アジェンダ

1. スマート化を進めるうえでのポイントについて（経産省背景）
2. セキュリティ対策の進め方
3. 制御システムあるあるサイバーセキュリティ事故
4. 制御システムサイバーセキュリティ事故の防ぎ方
5. 閉域網でも起こりうるサイバーセキュリティリスク
6. サイバー攻撃をどう防ぐか

ウェビナー視聴対象者

本ウェビナーは、以下のような方々に向けて解説しました。

• IT関係部門、生産関係部門、リスク管理部門、DX担当部門等でサイバーセキュリティ対策を検討されている方
• 工場のDX化を進めているプロジェクトメンバーの方
• 工場のDX化に協力される、サービスベンダー・サプライヤーの方

スマート化を進めるうえでのポイントについて（経産省背景）

【別冊：スマート化を進めるうえでのポイント】がなぜ作られたのでしょうか。経産省の方針として、サプライチェーン全体としてのセキュリティ対策強化が挙げられています。今まではどちらかというと、自社内での対策をすればよいという考えでした。しかし2022年頃から、サプライチェーンを踏み台にしてセキュリティ侵害を受けるケースが増えているため、このスコープが追加されたことが大きな変更点となります。

また、日本は欧州やアメリカと比較して法整備が十分でないという現状があります。その結果、国際連携をする上で不利になってしまうといった、日本政府としての対応の必要性があります。また政府全体としても体制強化や、新たな攻撃に対する研究開発を進める必要があり、民間レベルでも、セキュリティ対策を強化してほしいという期待からこのガイドラインが策定されています。ただ、この通りにやる必要はなく、環境に合わせてセキュリティ対策をすることが重要です。

また、別冊に関しては、ITと繋がるスマートファクトリーやサプライチェーンとの関係の中でどうやってセキュリティ対策に対応していくかを考えることを期待するために策定されたガイドラインです。

日本と欧米における、ITまたはOT環境における課題ですが、サイバーセキュリティ対策の法令設定が欧米と比較すると日本は遅れを取っています。欧米では、複数のセキュリティ対策法令が策定されていて、これらは罰則を伴う法令です。日本においては、政府によるセキュリティ対策ガイドは策定されていますが、罰則を伴う法令ではなく、あくまでもガイドラインに過ぎません。更に、日本の工場のDX化は欧米と比較して遅れており、米国は81%に対して、日本の現状は73%となっています。先進国においては遅れが目立っている状況ですので、経産省としても国際競争力を維持する上でも、工場のDX化は加速させたいという背景もあります。

また、2023年に当社とフロスト＆サリバン社で実施した、調査結果によると、56%の企業が1年以内にサイバーセキュリティインシデントを経験しており、ITのインシデントの97%が、OTシステムに影響しているという結果が出ています。2023年の警視庁の広報資料によると、サイバー攻撃の最大ターゲットは製造業（33%）となっています。ですから、日本の製造業は非常に狙われている環境であり、今まで攻撃を受けなかったのはラッキーだったのかもしれません。

セキュリティ対策の進め方

では、サイバー・フィジカル・セキュリティ対策ガイドライン対策の進め方ですが、経産省は3ステップにプロセスを分けています。

ステップ1：ゾーン設定

1つ目は、スマート化（DX化）を進める上で、目的を持ってスマート化しているか、品質向上のためなのか、またはコスト削減や人材不足対応なのか、新たな付加価値を考えた上で、スマート化をする目的を明確にすることを求めています。

２つ目は、海外のガイドラインや、法令といった外部要件に準じた対策を実施することです。

3つ目は新たなポイントですが、内部ステークホルダーにサプライチェーンが加わりました。メーカーやシステムベンダーも含め、どうやってセキュリティ対策をするかを一緒に考えていく必要があります。

4つ目も大きなポイントですが、サプライヤー経由でサイバー攻撃されることがあります。その際、ゾーンの整理がなぜ重要かというと、警視庁広報資料によると、バックアップを取っていても、元の形まで戻せる企業は全体の2割強しかなかったとレポートされています。その理由は、ゾーン分けが適切に設定されていなかったことが大きいと考えられています。つまり、業務内容に応じたネットワークのグループ分けが必要なのと、グループ内外のセキュリティが大きなポイントです。

ステップ2：ネットワークにおける対策

実際にサイバー・フィジカル・セキュリティ対策ガイドラインに書かれている内容です。これらはネットワークにおける対策ということで、ドメインやネットワークを分割することや、アクセス管理、IDは多要素認証をすることなどが示されています。企業によっては、初期設定されているパスワードを変更していないといったケースもあります。製造現場ではこの手の管理が甘いケースがあるので利用者の権限管理は重要な要素となります。
脆弱性対策では、工場では古いOSが存在し、パッチが当てられない、またエアギャップ環境で外部との接触ができないことから、セキュリティパッチを当てることができず、脆弱性のリスクを抱え続けることになります。ランサムウェアは、簡単に言うとウイルスと脆弱性攻撃の合わせ技のパターンが多いので、脆弱性対策をしていないのは大きなリスクを抱えることになります。

製造業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。

おすすめ記事

重要インフラを守る！IEC 62443でICS/OTセキュリティ対策を強化

IEC 62443は、産業制御システム（ICS）やOT環境におけるセキュリティを確保するための「国際標準規格」です。本記事では、IEC 62443の概要、構成、準拠のメリット、対応方法に加え、導入事例も交えて解説します。

製造業向けOTセキュリティガイドラインとベストプラクティスを解説

本記事では、OTセキュリティの重要性、主要な各ガイドライン（NIST SP 800-82、IEC 62443、経済産業省ガイドラインなど）について解説します。