「組織的対策」の進め方
近年、製造業においてサイバー攻撃による生産停止が現実のリスクとなっている。特に対策が遅れがちな工場などのOT環境では、IT環境からのマルウェア感染だけでなく、保守端末やUSBメモリーの持ち込み、リモート保守回線など、現場運用を起点としたインシデントが増加している。こうした背景を踏まえ、経済産業省(以下、経産省)は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を策定しているが、現場はどのように対策していけばよいのだろうか。同ガイドライン付録のチェックリストをベースに、4回に分けて具体策を考えていく。今回は「組織的対策」に焦点を当てる。
要となる“組織”の明確化
工場セキュリティというと、ネットワーク分離、マルウェア対策、USBメモリー管理、資産管理システムなどの製品導入をイメージしやすい。しかし、実際のインシデントでは、「誰が責任を持つのか分からない」「IT部門と工場側で役割分担が曖昧」という組織的な課題が根本原因になっているケースが多い。
経産省のガイドラインでも、最初のステップとして内外要件や業務、保護対象の整理が求められている。つまり、機器導入の前に以下の要素を明確にしなければならない。
【機器導入の前に明確にすべき要素】
・誰が管理するのか
・どこまでを対象にするのか
・何を守るのか
・インシデント発生時に誰が判断するのか
ただし、これらを明確にするには、経営陣や工場長の理解と判断が不可欠だ。「OT環境を取り巻く世の中の動向」「生産活動はQCDSE※1の上に成り立ち、『S』ではセキュリティ対策も考慮が必要なこと」「セキュリティを確保できなかった場合、生産停止や事故への発展の可能性があること」を理解してもらい、協力を得ることが必要だ。
可視化の重要性
事前の整理がついたら、次は対策だ。組織的対策として、主に図1のような事項がチェック対象となる。
特に重要なのは、[1-2]にある「関係する部署・部門間での協力・連携体制」である。つまり、OTは工場側、ITは情報システム部門(以下、情シス)という分断を放置しないことだ。例えば、工場内のWindows端末を誰が管理するのか、曖昧になっている企業は少なくない。情シス側は「工場設備だから対象外」、工場側は「PCだから情シス管理と思っていた」という状態では、パッチ未適用端末が放置されやすい。そのため、まずは”責任分界点”の可視化が重要だ。一覧化した例を図2に示す。
このように書き出すだけでも、“誰も管理していなかった領域”が浮き彫りになるだろう。本来は、資産管理システムで管理するのが理想だが、工場によっては予算の確保が難しいケースもある。その場合、Excelでの管理など、できるところから始めてもよい。

手作業による代替運用は可能か
実際、OTセキュリティ対策を全面導入できている企業はまだ少ない。また、導入するにしても予算の確保や工数などの問題で時間を要する。そのため、当面は以下のような手作業による運用を考えなければならない。それでも一定の効果はある。
【手作業による運用例】
1.持ち込みUSBの管理:「誰が、いつ、何のために、どのUSBを、どの設備へ接続したか」を記録する。
2.外部保守員の入退管理:「作業日時、接続先設備、接続方法、使用端末、実施内容」を記録する。
3.パッチ適用状況の管理:PLC※2周辺PCやHMI※3、VPN装置などについて、「OSバージョン、最終更新日、更新可否理由」を一覧化する。
これらは低コストで始められる。その一方PDCAを回す観点で、手作業には以下のような弱点がある。
【手作業による運用の弱点】
・記録漏れのリスク:紙運用やExcelでは、現場繁忙時に未記入が発生しやすい。
・運用の属人化:特定の担当者しか管理方法を理解していないケースが発生する。
・リアルタイム性の不足:「今、誰がどの設備へ接続しているか」が把握できない。
・監査負荷の増大:証跡確認に時間がかかる。
手作業は初期対策としては有効だが、セキュリティの成熟度向上には限界がある。経産省のガイドラインでも、PDCAサイクルによる継続改善が求められており、以下のような段階的なアプローチが現実的だ。
【段階的なアプローチの例】
1.手作業による運用を開始
2.運用負荷を可視化
3.必要箇所のみシステム化

組織的対策で最初にやるべき3項目
最後に、現場で最初に実施すべき内容を整理する。
【最初に実施すべき3項目】
1.OTセキュリティ責任者の決定:兼任でよいので、最終責任者を明確にする。
2.管理対象一覧の作成:まずはExcelでよい。
3.外部接続ルールの決定:IT環境への接続とUSB、VPN、保守端末の扱いを最低限ルール化する。
これだけでも、工場側と情シスとの協力・連係態勢が築かれ、セキュリティ意識が向上するとともに、工場のセキュリティレベルは大きく前進する。次回は「運用的対策」 のチェックリスト対応を解説する。
〈参考〉
経済産業省「工場システムにおけるサイバー・フィ ジカル・セキュリティ対策ガイドライン」
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
一般社団法人 日本自動車工業会「自工会・部工会 サイバーセキュリティガイドライン工場領域版(1.0 版)」
https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html
※1 QCDSE:「Quality(品質)」「Cost(コスト)」「Delivery(納期)」「Safety(安全)」「Environment(環境)」の略。
※2 Programmable Logic Controller:工場などにおける機械の動きを制御する。
※3 Human Machine Interface:人間と機械の間で情報をやりとりするための仕組み。

