スマート工場化が進んだことで、物理的な面のみならず、ITやOTにおけるセキュリティ対策が重視されています。特に工場のOTシステム(工場など製造現場での利用設備や必要な機械・システムを動かすための制御技術)は、近年インターネットとの連携が進んでおりますが、工場がサイバー攻撃を受けると生産ラインが停止し、安全性、生産性、収益など、企業は甚大な損害を受けることになります。そのため、早急にセキュリティ対策をすることが求められています。当記事ではOTセキュリティ対策が求められる場面や、実際にセキュリティ対策を進める上でのステップと気をつけたいポイントについて解説しています。
工場にセキュリティ対策が求められる理由
セキュリティ対策の不足によって、大手企業でもトラブルが生じているケースが増えています。特にサイバー攻撃によって、国内外の大工場が稼働を停止する事態も起こっています。
生産ラインの管理など、産業用設備をコントロールする制御システム(OT)は、言わば工場の心臓部に当たる重要なものです。
OTに停止や障害などのトラブルが生じた場合、安全性や生産性に深刻な問題が発生する恐れがあります。また一部のOTシステムには、製造システムなど重要な情報が含まれているため、それらの情報が抜き出されると知的財産面での損害も発生します。
工場においてOTセキュリティ対策を怠ると、生産ラインの停止をはじめとする損害発生リスクが増大します。最悪の場合は取引先からの取引停止など、企業の存続に関わる事態にもなりかねません。
このようなOTセキュリティリスクを回避するために、より強固な対策をとることが求められています。
工場セキュリティ対策の基本的な進め方
工場でのセキュリティ対策をどのように進めるべきか、基本的な手順を解説します。
現状のリスクを把握・分析する
セキュリティ対策を進める前に、まずは導入しているシステムの環境とセキュリティ対策の状況について情報を収集し、把握する必要があります。そしてそれらのセキュリティ対策について、想定した効果が得られているかを確認しましょう。
また、既存のセキュリティ対策が工場内で正しく実施されているかの確認も必要です。
例えば入退室のルールについても、定められたルールが守られているか、きちんと把握しておく必要があります。
もし工場内にルールが正しく守られていない箇所があった場合、そこにセキュリティ上のリスクが存在することになるからです。
現状のセキュリティ対策について状況を正しく把握し、効果が十分に生じていない箇所と、セキュリティ上のリスクが発生している箇所を洗い出しましょう。
対策を検討しルールを策定する
セキュリティ上の課題がある箇所を洗い出し、リスクを分析した後は、セキュリティ対策の検討と新しいルールの策定を進めるフェーズに移ります。
会社全体でセキュリティ強化の方向性などの方針を定め、優先順位を付けてから個別の施策に取り組みましょう。
IT機器とOT機器に対しては、サイバーセキュリティ対策を進める必要があります。サイバー攻撃に用いられるマルウェアの侵入経路は、インターネットだけではありません。USBなどの外部端末を経由して感染する可能性もあるため、対策がとられていない場合は新たに検討する必要があります。また、並行して盗難や破壊などが起こるリスクも考え、物理的なセキュリティ対策も怠らず進める必要があります。
もし既存のシステムだけで対応できない場合は、新たにセキュリティ対策製品の導入を検討しましょう。
ルールをもとに対策を運用する
対策やルールを策定した後は、それに則って実際に運用を進めていくことになります。
セキュリティ対策は1度実施したら終わりではなく、企業が存続する間、継続した取り組みが必要です。
運用中に発生した問題を現場からヒアリングして更なる改善点を見つける、サイバーセキュリティに関する最新の情報を収集するなど、定期的にルールや運用体制について見直し、随時アップデートしていく必要があります。
また、セキュリティの重要性を学ぶための研修を開くほか、最新のセキュリティ対策をはじめとするIT技術について学ぶ機会を設けるなどして、現場の担当者や工場セキュリティの担当者に対する教育体制を整えましょう。
工場の産業用制御システム(OT)へのセキュリティ対策
OTセキュリティとは、専用のソリューションや製品を用いて、サイバーセキュリティの脅威からOTシステムを保護する対策及びコントロールを指します。
工場セキュリティにおいては、侵入や盗難などに対する物理的なセキュリティ対策と、サイバーセキュリティ対策がありますが、特にサイバーセキュリティ対策が不十分な企業が多い傾向にあります。
これまで物作りの場である製造現場では、インターネットとの関連性が薄く、サイバーセキュリティについてさほど重要視されていなかったからです。
しかし工場の現場もIT化・DXが進み、リアルタイムに工場内のモノを管理したり稼働状況をチェックしたりするために、インターネットに接続するようになりました。そのため、ランサムウェアやマルウェアなど、外部からのサイバー攻撃による被害が増加しています。
これらの脅威から工場を守るため、高度なサイバーセキュリティ対策が求められています。
工場セキュリティ対策のポイント
外部と内部の両方へのセキュリティ対策を行うほか、複数のツールを組み合わせることで、工場セキュリティを高められます。
外部だけでなく内部への対策も行う
セキュリティ対策は物理的な侵入やサイバー攻撃など外部からの攻撃に備えるだけでなく、内部のセキュリティリスクについても考慮する必要があります。
この場合の内部とは、従業員や元従業員のことを指します。
過失によるパスワード流出以外にも、会社への個人的な不満から故意に不正を起こすことも考えられます。
そのため、内部不正に対する監視を強化するなど、社内のセキュリティリスク対策も進めることが必要です。また同時にサイバーセキュリティに関する社員教育も進めて、パスワードや機材の外部持ち出し禁止の意識を高め、情報流出を防止しましょう。
複数のツールを組み合わせる
セキュリティ対策においては複数のツールやチェックを導入することで、その強度を格段に向上させられます。
物理的な面では、入退室チェックにおいて顔認証とIDカードの双方を実施するなど、複数のチェックを実施することで、セキュリティの強度を格段に向上できます。
サイバーセキュリティにおいても同様です。まずネットワークの入口にファイアウォールや不正侵入防止システムなどを導入し、外部からの攻撃に備えましょう。さらにネットワーク内部においてもログ監視システムを導入するなどして、実際に侵入された際も早期に発見できるようにしましょう。
多層防御システムを展開することで、サイバー攻撃を受けた際の被害を最小限に食い止めることが出来ます。
工場セキュリティ対策に役立つ2つの資料
自社の工場セキュリティ対策を推進するにあたっては、下記の資料が参考になります。
IPA「スマート工場化でのシステムセキュリティ対策事例 調査報告書」
独立行政法人のIPA(情報処理推進機構)が公開した「スマート工場化でのシステムセキュリティ対策事例 調査報告書」は、工場を保有する事業者に向け、具体的なセキュリティ対策についての指針を提供する資料です。セキュリティ対策のシステム設計時に参考とすることを想定した、実践的な内容となっています。
IT化やクラウドサービスの活用など、スマート工場化が進んだ国内の先進的な工場をモデル事例として、設計開発から廃棄までの各フェーズにおけるセキュリティ対策についてまとめられています。
またインシデントが発生した際の対応や人員管理など、実際にシステムを運用する際の注意点についても記載されています。
参照元:スマート工場化でのシステムセキュリティ対策事例 調査報告書
経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」
経済産業省が公開した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」は、高度化・巧妙化しているサイバー攻撃に対して、工場システムのセキュリティの底上げを図ることを目的とした資料です。
企業が工場のセキュリティ対策を進める上での考え方や手順がまとめられているほか、技術面と運用・管理面の双方における対策内容が記されています。
なお本ガイドラインにまとめられているのは、工場のセキュリティ対策において必要最小限と考えられる事項です。実際に対策をするにあたっては、事業環境や技術動向の変化など、各業界や企業ごとの事情を考慮する必要があります。常に見直しを行いながらPDCAサイクルを回し、各社において有効なセキュリティ対策を構築しましょう。
参照元:工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン
まとめ
企業のセキュリティ対策は、物理面とサイバー面の双方から設計と運用を進め、日々内容をアップデートしていく必要があります。特に工場の運用を制御するOTシステムは、生産ラインなどを維持する上で重点的にセキュリティ対策を施す必要があります。
今回紹介した資料を元に、OTセキュリティの導入などセキュリティ対策について検討してください。
