IEC 62443とは?製造業が知るべきOTセキュリティ対策の基本から実践まで徹底解説
工場のスマート化、DX推進――。製造業各社では、生産性向上に向けた取り組みが加速する一方で、従来工場では抱えることのなかった新たなリスクに直面するようになりました。生産ラインの制御システム(OT)を狙ったサイバー攻撃です。ひとたび攻撃を受ければ、生産停止や製品の品質低下などが発生し、莫大な損失を被る可能性があります。そうなれば、企業の社会的信用の失墜を招いてしまうかもしれません。
本レポートでは、こうした新たな脅威から製造業の生命線である工場の生産ラインを守るための国際標準「IEC 62443」について、その重要性から具体的な対策、国内外の最新動向までを網羅的に解説します。さらに、単なる規格解説だけでなく、セキュリティ対策をいかにして事業の競争力へと転換していくべきか。そのための具体的なヒントとロードマップを、不足しがちなセキュリティ人材の育成も含めて提示します。
RX Japan 合同会社では、日本最大級の製造業の展示会「ものづくり ワールド」を東京で行うほか、大阪・名古屋・福岡でも開催しております。
展示会場では、製造業の最先端事例や設計開発の最前線の話題が学べる併催セミナーも開催しています。
来場だけでなく展示会への出展も受け付けております。気になる方は、お気軽にお問い合わせください。
●出展・来場に関する情報はこちら
IEC 62443とは?製造業でのサイバーセキュリティ対策の「共通言語」
IEC 62443とは?製造業でのサイバーセキュリティ対策の「共通言語」
デジタルトランスフォーメーション(DX)の実践が製造業各社の間に波及し、スマートファクトリー化による生産性向上に向けた取り組みが加速しています。その一方で、DXを実践したからこそ生まれた新たな課題も浮かび上がってきました。
これまで、顔を見知った従業員だけが働く安全な聖域とされてきた工場が、何者であるのかもわからない人物からサイバー攻撃を受ける主要な標的となりました。そして、一度のインシデントが、事業の根幹を揺るがす事態へと発展するリスクが、製造業のあらゆる企業が直面する現実のものとなってきています。もはやOT(Operational Technology:制御技術)セキュリティは、情報システム部門だけが注視・対策すべき技術的課題ではなくなりました。事業継続性を左右する経営上の重要課題として、経営会議の最重要議題に上げるべき喫緊の課題となっています。
IEC 62443は、製造業で実践すべきセキュリティ対策の手順を網羅
OTセキュリティの重要性は理解できても、その複雑で広範な課題に、どこから手をつければよいのか全くわからない方も多いのではないでしょうか。製造業の企業が、新たな課題であるOTセキュリティに取り組む際の羅針盤があります。それが、産業用オートメーションおよび制御システム(IACS)のセキュリティに関する国際標準規格「IEC 62443」です。この規格は、単なる技術的なチェックリストではなく、OTリスクを体系的に管理するための経営フレームワークとして機能します。
IEC 62443とは、工場の生産ラインや重要インフラをサイバー脅威から守るために策定された、OTセキュリティ分野における世界的なデファクトスタンダードです。IT環境とは異なるOT特有の課題(可用性の優先、長期にわたる機器利用など)に対処することを目的とし、製造業がOTセキュリティを実践する際に知っておくべき基礎知識から具体的実践手順まで網羅した内容になっています。IEC 62443は、複雑なサプライチェーンに関わる全ての関係者がセキュリティについて議論するための「共通言語」として機能させることができます。
なぜ今、製造業で「OTセキュリティ」が経営上の課題になるのか?
なぜ今、製造業で「OTセキュリティ」が経営上の課題になるのか?
多くのOT環境では、長期間にわたって稼働し続けることを前提とした専用システムや、サポートが終了した旧式のOSを搭載した機器が現役で稼働しているケースが少なくありません。IT部門の常識である頻繁なパッチ適用やアップデートの作業は一定時間システムの停止を招きます。「生産を止めない」という可用性を最優先するOT部門の価値観と衝突するため、容易には実行できない状況です。結果として、脆弱性が放置されたOT環境は、攻撃者にとって格好の標的となってしまいます。
ランサムウェア攻撃がもたらす経営への壊滅的インパクト
OTセキュリティのリスクは、もはや机上だけで考える脅威ではなくなっています。国内外で実際に発生しているインシデントは、その経営インパクトの甚大さを物語っています。
2022年にトヨタ自動車の主要サプライヤーである小島プレス工業がランサムウェア攻撃を受け、トヨタの国内全14工場の稼働が停止するという衝撃的な事件が発生しました。これは、サプライチェーン内の一つの脆弱性が、巨大メーカーの生産活動を麻痺させることを証明した象徴的な事例です。また、本田技研工業も、自社ネットワーク専用に作り込まれたランサムウェアの攻撃を受け、国内外9つの工場で生産停止に追い込まれました。
これらのインシデント事例における被害は、直接的な復旧費用や生産停止による逸失利益だけにとどまりません。納期遅延による顧客からの信頼失墜、ブランドイメージの毀損といった無形の損害は、長期的に企業の競争力を蝕んでいきます。復旧費用も年々高騰しており、復旧に5000万円以上を要した企業の割合が増加傾向にあるというデータも存在します。
OTセキュリティが全社で取り組むべき経営課題である理由
製造業で働く多くの人は、「セキュリティは情報システム部門の仕事」と考えているのではないでしょうか。これは、全くの誤解です。サイバーセキュリティ対策は、従来業務には含まれていなかった新たな取り組みであり、自分事として考えないのも無理はありません。しかし、OTセキュリティにおいてはこの考え方が最大の障壁となります。IT部門とOT部門では、その文化や優先順位が根本的に異なるからです(図1)
図1 ITセキュリティとOTセキュリティの優先順位の違い
IT/OT部門間の文化と優先順位のギャップ
一般に、IT部門はシステムや情報の「機密性」を重視します。これに対し、OT部門は「可用性」、すなわち生産ラインを止めないことを絶対的な使命としています。この価値観のギャップが、セキュリティ対策の導入を阻む大きな壁となっているのです。したがって、OTセキュリティの責任をIT部門に丸投げすることはできないのです。生産技術、工場管理、そして経営層を含む、部門横断的な取り組みが不可欠になります。
生産現場のリスクに対する最終責任は事業部門・OT部門が負うべきです。しかし、彼らはサイバーセキュリティの専門知識を持たないことが多く、ここに責任と専門性の乖離という深刻な問題が生じます。この課題を解決するためには、経営層のリーダーシップのもと、専門組織を立ち上げ、全社的な課題として取り組む必要があります。
サプライチェーン攻撃の脅威と取引条件化するセキュリティ
さらに、近年のサイバー攻撃は、サプライチェーンの脆弱な企業を踏み台にして、より大きな標的を狙う「サプライチェーン攻撃」が主流となっています。小島プレス工業の事例が示すように、自社のセキュリティレベルが取引先から厳しく問われる時代になったのです。セキュリティ対策が不十分な企業は、主要なサプライチェーンから排除されるリスクに直面しており、OTセキュリティは事業継続のための「取引条件」そのものになりつつあります。
IEC 62443の全体像と押さえるべき3つのポイント
IEC 62443の全体像と押さえるべき3つのポイント
製造業でOTセキュリティを実践する際の「共通言語」となるIEC 62443の規格群は、大きく4つのパートで構成されており、組織全体のセキュリティ体制から個々の機器に至るまで、包括的なアプローチを提唱しています(図2)。このような体系的な構造を取ることによって、IEC 62443は、複雑なサプライチェーンに関わる全ての関係者がセキュリティについて議論するための「共通言語」として機能させることができます。IEC 62443の特徴は、3つのポイントに集約できます。
図2 IEC 62443の規格群の構成と3つのポイント
ポイント1:役割ベースの考え方
ポイント1は、セキュリティを「誰か一人の責任」ではなく、エコシステム全体で分担すべき共同責任と捉えている点です。規格では、3つの役割を定義し、それぞれの責任を明確にしています。役割と責任を明確にすることで、「誰が何をすべきか」が明確になり、製品開発からシステム構築、日々の運用に至るまで、一貫したセキュリティ対策が可能になります。これは、単なる技術標準を超え、OTリスクに関するガバナンスの原則を具体化したものと言えます。
ポイント2:セキュリティレベル (SL)
ポイント2は、「セキュリティレベル(SL)」という概念を導入し、リスクに応じた適切な対策レベルを定義する手法を提示している点です。SLは、想定される攻撃者のスキルや動機に応じて4段階で定義されます。すべてのシステムに同じレベルのセキュリティ対策を施すのは非効率的であり、コストもかさみます。
こうした状況を回避するために、事業者は、リスクアセスメントを通じて、自社の工場内の各エリア(ゾーン)やシステムに対して達成すべき目標SLを設定します。これによって、重要度の高いシステムには高度な対策を集中させ、そうでないエリアは必要最低限の対策に留めるなど、費用対効果の高い合理的なセキュリティ投資が可能になります。リスク許容度に応じて経営資源を配分するという、経営管理の基本原則をセキュリティに適用しています。
ポイント3:ライフサイクルアプローチ
ポイント3は、「ライフサイクルアプローチ」です。これは、セキュリティを一過性のプロジェクトとしてではなく、システムの設計・開発から運用、保守、そして廃棄に至るまでの全期間にわたって維持・管理されるべき継続的なプロセスと捉える考え方です。
例えば、製品供給者はIEC 62443-4-1に準拠したセキュア開発ライフサイクル(SDL)を導入し、脅威モデリングやセキュアコーディングといった手法を開発プロセスに組み込むことが求められます。一方、アセットオーナーは、導入したシステムの脆弱性管理やパッチ適用、定期的な監視、インシデント対応計画の策定といった運用体制を構築し、継続的なセキュリティレベル維持を求められます。
このアプローチは、品質管理におけるTQM(Total Quality Management)と同様に、セキュリティを「後から付け加える」のではなく、「最初から作り込み、維持し続ける」という思想に基づいています。これにより、導入時には安全だったシステムが、時間の経過とともに陳腐化し、危険な状態に陥ることを防ぎます。
対岸の火事ではない!輸出企業を直撃するCRAの衝撃
対岸の火事ではない!輸出企業を直撃するCRAの衝撃
これまでOTセキュリティは、事業継続のための「推奨事項」や「ベストプラクティス」と捉えられがちでした。しかし、その認識は根本的に改める必要があります。欧州連合(EU)で成立した「サイバーレジリエンス法(CRA)」をはじめとする国際的規制の波が広がっており、OTセキュリティをグローバル市場でビジネスを行うための「法的義務」へと変えつつあります。特に輸出を行う日本の製造業にとって、避けて通れない経営課題になったと言えます。
なぜ今、世界がIEC 62443を求めるのか
世界各国の政府や規制当局は、重要インフラや製造業を狙ったサイバー攻撃が経済や社会全体に与えるリスクを深刻に受け止めています。新たな規制を策定するにあたり、ゼロから独自の基準を作るのではなく、既に国際的に広く認知され、実績のあるIEC 62443をその基礎として参照する傾向があります。つまり、IEC 62443への準拠は、将来の法規制に先んじて対応するための、最も効果的で戦略的なアプローチと言えます。
CRAで日本の製造業に課される義務
CRAは、EU市場で販売される「デジタル要素を持つ製品」全般に、強制力のあるサイバーセキュリティ要件を課す法律です。その対象範囲は極めて広く、産業用制御機器(PLCなど)から、ネットワークに接続する家電、ソフトウェアに至るまで、事実上すべてのコネクテッド製品が含まれます。
日本企業への間接的な影響
最も重要な点は、この法律が製造者の所在地を問わず、EU市場に製品を上市するすべての事業者が適用対象になるという点です。EUへ直接製品を輸出する日本企業はもちろん、自社の部品が組み込まれた最終製品がEUで販売される場合にも間接的に影響が及ぶことになります。製造業者に課される主な義務は厳格であり、その多くがIEC 62443の原則と軌を一にしています。
図3 CRAにおける製造業者に課される主な義務と違反時の潜在的リスク
CRAの遵守を怠った場合の罰則は極めて重く、企業の存続を揺るがしかねません。違反の内容に応じて、最大で1500万ユーロ(約25億円)、または全世界の年間売上高の2.5%のいずれか高い方が制裁金として課される可能性があります。これはEUの個人情報保護規則であるGDPRに匹敵する水準であり、サイバーセキュリティがコンプライアンス上の最重要リスクの一つになったことを示しています。
さらに、金銭的な罰則に加え、各国の規制当局は、基準を満たさない製品の市場からの排除やリコールを命じる権限を持ちます。これは、事実上のEU市場からの締め出し、すなわち事業停止を意味します。
規制対応をビジネスチャンスに変える戦略
この厳しい規制は、見方を変えれば大きなビジネスチャンスをもたらします。CRAへの対応は、単なるコストや負担(守りのコンプライアンス)ではなく、自社製品の安全性と信頼性を客観的に証明し、競合他社との差別化を図る絶好の機会(攻めのコンプライアンス)となり得るからです。CRAに準拠した製品は、EU市場において「信頼できる製品」として認知され、セキュリティを重視する顧客から優先的に選ばれるようになることでしょう。
また、CRAの動きは、EU市場の巨大さと影響力から、世界中に波及する可能性が高いと見られています。グローバル企業は、市場ごとに異なる基準の製品を開発・管理するよりも、最も厳しいEUの基準に合わせて全製品を設計する方が効率的になります。その結果、CRAの要件が事実上のグローバルスタンダードとなり、EUと直接取引がない企業にも準拠が求められるようになるとみられます。
また、CRAは、これまで「信じてください」という性善説に基づいていたセキュリティの主張を、「証明してください」という客観的な証拠に基づく文化へと転換させます。技術文書の提出や第三者認証の要求は、セキュリティが単なるマーケティング文句ではなく、契約に基づき検証可能な品質要件であることを意味します。この変化に対応できた企業だけが、未来のグローバル市場で生き残ることができます。
何から始めるべきか?IEC 62443導入に向けた実践4ステップ
何から始めるべきか?IEC 62443導入に向けた実践4ステップ
IEC 62443の重要性やCRAのインパクトを理解しても、多くの企業担当者は「具体的に何から手をつければよいのか」という壁に直面することが多いと思われます。ここでは、規格の抽象的な概念を、現場で実行可能な具体的なアクションに落とし込むための4つのステップからなるロードマップを提示します。
ステップ1:どこに脆弱性があるのかを知る
ステップ1は、現状把握とリスク分析です。どこに脆弱性があるのかを把握します。全ての対策は、自社の状況を正確に把握することから始まります。見えないものは守れません。まず、工場内のOT資産の棚卸しをします。PLC、HMI、産業用PC、ネットワークスイッチといった機器の種類、それらのOSやファームウェアのバージョン、ネットワーク接続構成などを正確に把握します。次に洗い出した資産のリスクを分析します。どのような脅威(ランサムウェア感染、不正アクセスなど)が存在し、どのような脆弱性があるかを特定します。そして、その脅威が現実になった場合に事業(生産活動)にどの程度の影響を与えるか(影響度)と、その発生可能性を評価します。
ステップ2:誰が責任者で、どこを目指すのか決める
ステップ2は、体制構築と目標設定です。誰が責任者となり、どのような状態を目指すのかを定義します。OTセキュリティは、技術だけでなく「組織」で対応するものです。明確な体制と目標がなければ、取り組みは頓挫します。推進体制の構築では、OTセキュリティの責任者を明確に任命し、OT部門(生産技術、工場担当者)、IT部門、経営層からなる部門横断的な推進チームを組成します。インシデント発生時に迅速に対応するため、専門チームを設置することも有効になります。
この取り組みの成功は、経営層が明確なリーダーシップを発揮し、予算や権限を与えることにかかっています。ITとOTの文化的な対立を乗り越え、全社的な協力を得るためには、トップダウンの強力な後押しが不可欠です。さらに、ステップ1のリスク分析の結果に基づき、目標セキュリティレベル(SL)を設定します。加えて、OTセキュリティは、ITとOTの両方の知識を併せ持つ特殊なスキルセットを持つ人材育成計画の策定も重要になります。
ステップ3:優先順位をつけて具体策を打つ
ステップ3は対策の計画と実行です。限られたリソースの中で最大限の効果を上げるには、戦略的な計画と実行が求められます。優先順位をつけて、具体策を打つことが重要になります。
まず、リスク分析の結果を用いて、取り組むべき対策に優先順位を付けます。「事業への影響度」と「対策の実現性(コスト・難易度)」の2軸でマッピングし、最もリスクが高く、かつ対策が容易なものから着手することが定石になります。段階的導入(スモールスタート)も有効です。
また、全工場・全ラインに一斉に対策を導入するのはリスクが大きすぎます。まずは影響の少ない特定のラインやエリアをパイロットとして選定し、そこで対策を試験的に導入し、技術的な問題点や運用上の課題を洗い出して、本格展開に先立って解決しておく手法も効果的です。特に専門人材や予算が限られる中小企業は、最初から完璧を目指す必要はありません。まずは基本的な対策から着実に進めることが重要です。
ステップ4:PDCAを回し続ける
ステップ4は、運用と継続的改善です。セキュリティ対策は、導入して終わりではありません。継続的な運用と改善こそが、その実効性を担保します。計画(Plan)、実行(Do)、評価(Check)、改善(Act)のPDCAサイクルを回す仕組みを構築しておく必要があります。
また、OTネットワークを常時監視し、不審な通信や異常な挙動を検知する体制の整備も重要です。さらに、マルウェアに感染した場合などの具体的なシナリオを想定したインシデント対応訓練を定期的に実施し、有事の際に組織が迅速かつ的確に行動できるように備えます。
事例に学ぶ、成功企業のアプローチ
事例に学ぶ、成功企業のアプローチ
理論やステップを理解した上で、先進企業が実際にどのようにOTセキュリティに取り組んでいるかを知ることは、自社の戦略を具体化する上で非常に有益です。
サプライチェーン全体を強化する自動車産業の取り組み(トヨタ自動車の事例)
例えば、日本の自動車産業は、その巨大で複雑なサプライチェーン全体でセキュリティレベルを向上させるという、極めて先進的なアプローチをとっています。日本自動車工業会(JAMA)と日本自動車部品工業会(JAPIA)は共同で「自動車産業サイバーセキュリティガイドライン」を策定しました。このガイドラインは、数千社に及ぶサプライヤーが自社のセキュリティ対策状況を自己評価するための共通のチェックシートを提供し、取り組むべき対策項目をレベル別に示しています。
特にトヨタ自動車は、単にガイドラインへの準拠を求めるだけでなく、取引先を対象としたセミナーの開催や相談窓口の設置など、サプライヤーのセキュリティ強化を積極的に支援しています。従来の「発注者と受注者」という関係を超え、サプライチェーン全体を一つの運命共同体と捉え、共に強くなることでエコシステム全体のレジリエンスを高める「共存共栄」の思想に基づいた取り組みです。
リスクベースで効果を最大化する(JFEスチールの事例)
一方、JFEスチールは、リスクに基づいて段階的にOTセキュリティを実践していくアプローチを選択しました。まず、最も重要かつ脆弱なポイントとして「制御システムを操作する端末」にフォーカス。生産オペレーションを阻害しないことを絶対条件とし、オフライン環境でも動作し、かつ軽量なエンドポイント保護ソリューションを導入しました。限られたリソースの中で最も効果的な一点に集中し、具体的な成果を上げるという賢明な戦略であると言えます。
成功企業に共通するOTセキュリティ実践の鍵
先進企業の取り組みを分析すると、共通する要因を抽出することができます。まず、成功している企業では、OTセキュリティが経営層からの明確な指示と支援のもと、全社的な重要課題として位置づけられています。さらに、ITとOTの間に存在する「壁」を取り払い、両部門が協力する公式なチームやガバナンス体制を構築しています。また、すべてを一度に行うのではなく、リスクアセスメントに基づき、最も重要な領域から対策に着手することで、投資対効果を最大化しています。そして、セキュリティを一過性のプロジェクトとせず、継続的なプロセスとして組織文化に根付かせています。
まとめ:次なる一手と未来への展望
まとめ:次なる一手と未来への展望
本記事では、製造業が直面するOTセキュリティの脅威から、その対策の羅針盤となる国際標準IEC 62443、そして具体的な導入ステップまでを解説してきました。もはやOTセキュリティは、避けて通れない経営課題であり、DXを成功させるための必須要件になりました。既に、OT資産の可視化・脆弱性診断ツール、侵入検知・監視ソリューション、コンサルティング・教育サービスなど対策を支援するツールやサービスを提供する企業が増えてきています。製造業向けの展示会やセミナーに参加して、自社の状況を念頭に置きながら、自社に適したソリューションパートナーを探してみてはいかがでしょうか。
RX Japan 合同会社では、日本最大級の製造業の展示会「ものづくり ワールド」を東京で行うほか、大阪・名古屋・福岡でも開催しております。
展示会場では、製造業の最先端事例や設計開発の最前線の話題が学べる併催セミナーも開催しています。
来場だけでなく展示会への出展も受け付けております。気になる方は、お気軽にお問い合わせください。
●出展・来場に関する情報はこちら
執筆者プロフィール
伊藤 元昭
富士通株式会社にて、半導体エンジニアとして、宇宙開発事業団(現JAXA)の委託による人工衛星用耐放射線半導体デバイスの開発に従事。日経BP社にて、日経マイクロデバイスおよび日経エレクトロニクスの記者、副編集長、日経BP半導体リサーチの編集長を歴任。
▼この記事をSNSでシェアする