近年関心が高まる
工場のサイバーセキュリティ対策

近年、製造業におけるサイバー攻撃は増加傾向にあり、生産システムへの影響が顕在化している。これを受け、日本では官民双方から工場セキュリティに関するガイドラインが整備されている。本稿では、経済産業省による「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」と、日本自動車工業会および日本自動車部品工業会による「サイバーセキュリティガイドライン 工場領域編」を比較し、これら二つのガイドラインの対象範囲の違いを整理するとともに概要を示す。工場セキュリティ対策の第一歩として目を通してほしい。

ガイドラインの対象範囲の違い

 経済産業省(以下、経産省)のガイドライン(Ver1.1)は、製造業全体を対象とした“横断的かつ包括的”な指針である点が特徴だ。自動車、化学、食品、電機など、多岐にわたる業界をカバーしている。そのため、内容はセキュリティの原則や考え方、リスクマネジメントの枠組みを中心に構成されており、いわば「あるべき姿」を示す上位概念のガイドラインと位置付けられる。経営層やCISO※1などの意思決定者から、実務担当者まで幅広い層を対象としているとも言える。

 一方で、自工会・部工会のガイドライン(1.0版)は、自動車産業に特化した“実務的かつ具体的”な指針である。多くのサプライヤー企業を意識しており、実際の工場現場で実装すべき具体的な対策をチェック項目として提示している。工場の情報システム担当者や設備管理者といった現場実務者を主な対象としている。

 なお、工場の制御システム(OT:Operational Technology)とOA(Office Automation)に代表されるIT環境には主に図1のような違いがあるが、両ガイドラインともにこれらの差異は考慮されている。

図1:ITセキュリティと工場(OT)セキュリティの違い

両ガイドラインのチェック内容の違い

 両ガイドラインの違いは、そのチェック項目の内容からも分かる。(図2参照)

 経産省のガイドラインに付録のチェックリストは5カテゴリー32項目から構成されており、管理・運用プロセスが整っているかのチェックに有効だ。チェック項目ごとにガイドラインの該当箇所を参照するように記載されており、そこを参照すれば確認すべき内容をイメージしやすくなっている。

 一方、自工会・部工会のガイドラインには、17カテゴリー62項目から構成されるチェックシートが付属しており、導入されている各セキュリティ対策の水準をチェックできる。カテゴリーそのものが現場実務に即して分類されており、各項目の達成基準や他社事例も細かく記載されている。例えば、確認の頻度(例:1回以上/年)や報告の項目、対象となる従業員の職位、管理すべき項目名、ログの保管期間などだ。そのため、チェックシートをそのまま実務の点検表として活用でき、着実に対策を進められる。

図2:各ガイドラインのチェックリストのカテゴリー

人的運用と自動化の見極め

 自工会・部工会のチェックシートは確認を進めやすい構成である一方、その要求水準に目を向けると、実行のハードルが高い項目があることに気付く。例えば、下記のような項目だ。

【実行のハードルの高い項目】
7製造設備・システムの管理
・重要度に応じて製造設備・システムのOS、ソフトウェアの情報(バージョン情報、管理者、管理部門、設置場所など)の一覧を定期的、または必要に応じて、見直ししている【頻度】1回/年以上

10外部への接続状況の把握
・ネットワーク図・データフロー図は、定期的、または必要に応じて、見直ししている【頻度】1回/年以上

 これらを怠れば、シャドーITが発生し、脆弱性の放置につながるだけでなく、アラートやインシデントが生じた際の原因特定が困難になる。その結果、復旧が遅れ非稼働時間の長期化を引き起こしかねない。

 これらの対策を行うには、OT環境に適したセキュリティシステムを導入し、自動化することが理想的だ。しかし、全てを満たすには多額の予算確保が必要になるため、投資計画が重要になってくる。ツールを導入する箇所、人手の運用でカバーする箇所を見極め、人員の工数とセキュリティシステムの費用を比較するとともに、該当システムの重要度や人的ミスの許容なども考慮して対策の優先順位を整理する必要がある。

サプライチェーンの競争力向上のために

 今後、グローバルなサプライチェーンの中で競争力を維持するためにも、まずは組織全体での体制やリスク評価を経産省のガイドラインでチェックし、それらを基盤として自工会・部工会のガイドラインの具体的要求事項を実装していく、という二重構造での活用の検討をおすすめする。

〈参考〉
経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
一般社団法人 日本自動車工業会「自工会・部工会サイバーセキュリティガイドライン工場領域版(1.0版)」
https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html

※1 Chief Information Security Officer:最高情報セキュリティ責任者。
※2 Programmable Logic Controller:工場やインフラ設備の機械動作をプログラムで自動制御する産業用コンピューター。
※3 Supervisory Control and Data Acquisition:工場やインフラ(水道・ガスなど)の機器・設備をネットワーク経由で一元的に遠隔監視・制御するシステム。
※4 Distributed Control System:プラントや工場を監視・制御するシステム。