拡大する工場のスマート化、セキュリティ対策待ったなし

製造業での業務の効率化やビジネスの付加価値向上に向けて、工場のスマート化が拡大しています。現在では、生産ラインを管理・制御する運用システムが、工場外の業務システムやクラウドサービスと連携しながら動くようにもなりました。こうしたスマート化によって製造業の業務革新が進む半面で、サイバー攻撃の対象になるリスクも高まっています。セキュリティ対策の強化なしで、製造業でのデジタルトランスフォーメーション(DX)を推し進めることはできない状況です。製造業を取り巻くこうした状況を背景として、経済産業省は、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を策定。製造業各社での対策の実践・強化を促しています。ここでは、政府が示すガイドラインに基づいて、工場でセキュリティ対策の強化が求められている理由、強化を推し進める際の考え方、具体的な対策法などについて解説します。

RX Japan株式会社では、日本最大級の製造業の展示会「ものづくり ワールド」を東京で行うほか、大阪・名古屋・九州でも開催しております。その中でも、構成展の一つである「サイバーセキュリティ展」では、製造業でのセキュリティ対策を推進するIT製品やソリューションが数多く出展し、工場セキュリティに関する最新情報を一括収集できる貴重な場になります。さらに、「製造業DX展」では製造業の業務デジタル化、DXを推進するIT製品、サービスなどが出展します。

製造業の最先端事例が学べるセミナーもあるため、足を運んでみてはいかがでしょうか?また、来場だけでなく展示会への出展も受け付けております。気になる方は、お気軽にお問い合わせください。

●ものづくりワールドの出展・来場に関する情報はこちら

 製造業DXが進展し、工場がサイバー攻撃の標的に

製造業DXが進展し、
工場がサイバー攻撃の標的に

人手に頼る工場から、スマートファクトリーへ

製造業では、効率化やビジネスの付加価値向上を狙った工場のスマート化を推し進める動きが広がっています。製造業DX(デジタル・トランスフォーメーション)が当たり前のように実践される時代が到来しました。これまで属人的な知識や経験を基づいていた意思決定の精度とスピードは、IoTで収集したデジタルデータを人工知能(AI)などの高度な情報処理を活用することで劇的に向上。人手に頼っていた作業も、ロボティクスの活用で自動化・省人化が可能になりました(図1)。

図1 製造業DXの進展で、工場はスマートファクトリーへ

出所:経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」

これまでにも、データやロボットの活用によるファクトリー・オートメーション(FA)の導入による工場の業務改善が進められてきました。これが現在では、より多く業務やシーンでデジタル技術を駆使できるようになり、人手が入らない作業や管理・制御が行われる領域が増えてきました。加えて、工場の情報システムや制御システムが、インターネットを介して本社の基幹業務システムやクラウドサービスと拠点の枠を超えてつながるようになってきています。今後はさらに進んで、多種多様なシステムが連携する巨大な情報システムが構築され、経営から生産現場に至るまでを通貫した管理・制御が行われる方向へと向かっていくことでしょう。

ただし、こうしたスマート化によって製造業の業務革新が進む半面で、新しい課題も顕在化してきています。サイバー攻撃のリスクが高まり、攻撃によって被害を受ける範囲と規模が増大していることです。

これまでの工場におけるセキュリティと言えば、もっぱら不審な部外者の侵入を防ぐリアルな世界での警備のことを指していました。ところが現在では、想定されるリスクに応じた適切なサイバーセキュリティの強化を可及的速やかに実施することが求められるようになりました。セキュリティの強化なくして、製造業DXを実践することはできないと言えるでしょう。

社会的役割が大きい工場は、サイバー攻撃の絶好の標的

サイバーセキュリティの強化は、製造業の工場のみならず、一般的なオフィスや家庭でも重要性が高まっています。しかし、工場のセキュリティは、他の領域にも増して戦略的かつ厳重な対策を取る必要がありそうです。

そもそも工場は、サイバー攻撃を行う悪意ある攻撃者にとって、絶好の標的であると言えます。なぜならば、社会や人々の生活で利用する物資を生み出す工場は、操業が止まったり設備が破壊されたりすれば、社会に広く大きな影響が及ぶ可能性が高いからです。自己アピールを狙ったサイバー攻撃が行われることも多く、工場はそうした目的に合致した攻撃対象なのです。

しかも、現在は製造業DXが進展している過程の状況。既存の工場設備の多くは、業務を管理・制御するデジタルシステムがインターネットにつながることを想定しているわけではありません。サイバーセキュリティの観点から見れば、丸腰の状態のままの設備も多くあります。このため、セキュリティ上の脆弱性が各所に生まれる可能性があるのです。工場で働いている人たちも、DX自体が新しい取り組みであり、それに慣れるのに手いっぱいな状態です。とても、サイバーセキュリティを適切に実践するための知識・スキル・経験・行動様式を養うところまで気が回っていないというのが現状ではないでしょうか。

経産省が工場向けサイバーセキュリティ対策のガイドラインを策定

実際、製造業の企業や工場を対象にした多くのサイバー攻撃の事例が出てきています。例えば、2020年には、ホンダでサイバー攻撃によってネットワーク障害が発生し、その影響で国内外9工場の操業が止まりました。さらに2022年にはトヨタ自動車の主要サプライヤの子会社がサイバー攻撃を受け、その結果、取引先部品メーカーの稼働停止。自動車メーカーの国内14カ所の工場が操業停止に追い込まれました。これらの事例は、複雑なサプライチェーンを構築している製造業では、被害の拡大が極めて深刻であることを如実に示しています。

製造業を取り巻くこうした状況を背景にして、経済産業省は、製造業に特化したサイバーセキュリティ対策の進め方をまとめたガイドライン「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を策定(図2)。製造業各社での対策の実践・強化を促しています。ここからは、政府が指した示すガイドラインに沿って、サイバーセキュリティの強化を進める際の考え方、具体的な対策法などについて解説したいと思います。

図2 工場ではリアルとサイバー、両方のセキュリティ強化が求められている

(左)経済産業省が2022年11月16日に発行した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」の表紙、(右)仮想空間のセキュリティ強化が急務に

出所:経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」

 工場を対象にしたセキュリティ対策ガイドラインを政府が策定

工場を対象にしたセキュリティ対策ガイドラインを政府が策定

多様な攻撃対象と侵入経路を想定して対策指針を策定

一言でサイバー攻撃と言ってもその形態は多様です。経産省は、発行した対策ガイドラインの中で、工場の管理システムや装置・設備などに被害が及ぶ可能性のある脅威を以下の10種類に大別しています。すなわち、「1.機器の盗難、システム・機器に対する破壊・不正操作」「2.設備の異常な制御や停止」「3.データ盗難・漏えい」「4.データ改ざん・破壊」「5.可用性低下」「6.外部への攻撃の踏み台としての利用」「7.システム・機器の障害・故障」「8.従業員、保守要員(設備ベンダー)の過失」「9.施設や作業環境の脅威」「10.自然環境の脅威」です。このうち、1〜6が、サイバー攻撃による脅威に関わるものであり、経産省は攻撃技術の進化に対応した対策を求めています。

また、攻撃対象になる可能性のある業務やデータ、装置・設備、侵入の経路も多様です(図3)。例えば、検査装置などが攻撃対象となって異常な制御が引き起こされてしまうと、品質低下に気づかないまま製品を出荷してしまうことにもなりかねません。こうした事態が発生すれば、製品の品質低下や不良の発生による企業ブランドの毀損につながります。また、安全設備が攻撃対象になり制御データが改ざんされてしまうと、実際に事故が起きるまで攻撃されたことに気づかず、その間人命が危険に晒される状態が続く可能性があります。

図3 典型的な工場内の情報通信システムの構成

出所:経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」

さらに、データ盗難・漏えいが起きれば、生産のレシピや生産性向上、品質維持に関わるノウハウなど、企業競争力を支える知的財産が他社・他国へと流出してしまう可能性があります。工場では、装置・設備メーカーなどの知財や顧客情報などを扱っている場合もあり、これらが流出すれば社会的信用を失うことになりかねません。

侵入経路に関しても、インターネットなどの外部ネットワークだけに注目していては十分な対策ができません。外部からの侵入者などによって内部から工場内ネットワーク経由に直接アクセスして引き起こされる可能性もあるからです。たとえ、工場内と外部をつなぐネットワークの出入り口に万全の対策を施したとしても、USBメモリー1本で、重要な情報を工場内部で不正コピーしたり、危険なウィルスを侵入させたりすることが可能です。

求められるセキュリティ対策のレベルとは

サイバー攻撃は、攻撃対象も手段も、侵入経路も多様です。しかも攻撃技術は、日々進化し続けており、攻撃者の技術レベルと対策のレベルそれぞれの向上がイタチごっこで続いています。では、工場では、どのようなレベルまでセキュリティ対策を施しておく必要があるのでしょうか。セキュリティ対策レベルの評価基準として、さまざまなものが提案されています。代表的な3つを紹介します。

1つ目は、国際標準化団体であるIEC(International Electrotechnical Commission)が発行した「IEC 62443」規格群です。制御システムにおけるセキュリティ・ガイドラインとして広く活用されています。サイバーセキュリティの対策ガイドラインはたくさん発行されていますが、その多くは、一般的な企業での組織、運用を想定して策定されていることがほとんどです。工場などの制御システムには適合しにくい場合があります。IEC 62443では、工場での対策の実践を想定して、セキュリティレベルを「何も行っていない状態(SL0)」「突発的な事故、エラーに対する抵抗力がある(SL1)」「低リソース、ナレッジを元にした意図的な攻撃に対する抵抗力がある(SL2)」「ある程度のリソース、ナレッジを元にした攻撃に対する抵抗力がある(SL3)」「非常に高いリソースとモチベーションを持った攻撃に対する抵抗力がある(SL4)」の5段階で定義し、対策指針を示しています。これらのセキュリティレベルは、攻撃者の悪意の有無、攻撃手段の複雑さ、攻撃に利用するリソース、攻撃者のスキル、攻撃動機という5つの観点に着目したものです。

2つ目は、米国の政府機関である「米国国立標準研究所(National Institute of Standards and Technology, NIST)」が発行した「NICTサイバーセキュリティフレームワーク(CSF)」です。マネージメントの成熟度を軸にしてセキュリティレベルを評価している点が特徴です。CSFは、汎用的かつ体系的なフレームワークであり、米国国防総省は同省と契約する業者に対して、CSFの下位概念である「NIST SP 800-171」への準拠を求めています。また、米国だけでなく世界各国が準拠を進めています。CSFは、「コア(Core)」「ティア(Tier)」「プロファイル(Profile)」 という3つの要素で構成されています。コアとは組織の種類や規模を問わない共通のサイバーセキュリティ対策の一覧です。ティアとは、対策状況を数値化し、組織を評価する基準です。プロファイルとは、組織のサイバーセキュリティ対策の「as is (現在の姿)」と「to be (目指すべき姿)」をまとめたものです。企業や組織は、これらの3要素に基づき、サイバーセキュリティ対策状況の現状把握や対策の優先順位付けを行うことになります。

3つ目は、経済産業省の「IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)」です。IoT機器・システムにおけるセキュリティ・セーフティ要求レベルを、「第1軸:発生したインシデントの影響の回復困難性の度合い」「第2軸:発生したインシデントの経済的影響の度合い(金銭的価値への換算)」の2軸で表現して、対象となる機器やシステムを分類します。そして、「第1の観点:運用前における確認要求」「第2の観点:運用中の確認要求」「第3の観点:運用、管理を行う者の能力に関する確認要求」「第4の観点:その他、社会的なサポート等の仕組みの要求」の4観点から先に分類した機器やシステムを評価し、どこを優先し、どのレベルまで対応策を講じるのか可視化します。

 工場セキュリティの策定・導入・運用に向けたステップ

工場セキュリティの策定・
導入・運用に向けたステップ

人任せで対策技術やツールを導入するだけでは不十分

では、工場でのサイバーセキュリティ対策を強化する取り組みは、どのように進めたら良いのでしょうか。経済産業省の対策ガイドラインでは、対策の企画と導入に際しては、「ステップ1:内外要件(経営層の取組や法令等)や業務、保護対象等の整理」「ステップ2:セキュリティ対策の立案」「ステップ3:セキュリティ対策の実行、及び計画・対策・運用体制の不断の見直し(PDCAサイクルの実施)」という3段階で取り組むことの重要性を強調しています(図4)。こうした指針を示している背景には、「セキュリティ対策を専門業者任せにして、対策ツールを導入するだけでは不十分」というメッセージが込められています。

図4 セキュリティ対策の企画・導入の進め方

出所:経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」

現場で運用可能な対策・ルールの策定が重要

Step1のセキュリティ対策を施す対象となるシステム環境やIT(Information Technology)やOT(Operation Technology)システムのユースケースを正確に判断することは、適切な対策を策定する際の起点として欠かすことのできない作業です。工場それぞれで、作る製品や生産に使う装置・設備、さらにはそれらを扱う作業者が異なることから、適応すべきセキュリティ対策もまた異なります。そもそも求められるセキュリティレベルからして変わってくるのです。

サイバーセキュリティの対策に初めて取り組む現場は、どうしてもステップ2の対策部分に最初から目が向けがちです。しかし、まずは現状と現況の把握精度を高めること、現場の作業者が、現場とそこで利用するシステムに内在するサイバーセキュリティのリスクを明確に自覚することが極めて重要になります。

加えて、経営トップも、ビジネスの成長・継続を実現するためには、継続的なサイバーセキュリティ対策に自分事として取り組むことが重要になります。セキュリティ対策はビジネスを営む素地を作る活動ではありますが、それ自体が何らかの付加価値を生み出したり、効率向上につながったりするわけではありません。それでいて、相応のコストや手間、人手は掛かります。だからこそ、経営トップの揺るぎない理解が必要になるのです。

セキュリティの重要性を現場が理解し、継続的改善が不可欠

さらに、ステップ3として挙げられているように、どんなに万全の対策を施したと自負してしても、計画・対策・運用体制を見直す“カイゼン”活動を終わりなく継続的に行うことが重要になってきます。これは、サイバー攻撃とセキュリティ対策の両方で技術が高度化し続けるからです。また、現場の作業者がセキュリティ対策に向けた行動を実直に継続していくことが大切です。

ガイドラインの中で明確に記されているわけではありませんが、近年、サイバーセキュリティの領域では「ゼロトラスト」と呼ばれる対策コンセプトの重要性が指摘されるようになりました。ゼロトラストとは、ネットワークにつながっている領域は、そもそも信頼しないことを前提にして被害を最小化する対策を施そうという考え方です。

これまでは、ファイアウォールなどで危険な外部ネットワークと安全な内部ネットワークに分けて、守りたい装置・設備は内部に置くというのが対策の基本コンセプトでした。ゼロトラストでは、どんなに堅い壁で隔てても、完全に安全なネットワークの領域など作りようがないという発想を大前提として対策します。

ゼロトラストは、ICTの分野ではポピュラーな考え方になってきました。工場は、装置・材料のサプライヤなど外部企業の従業員や非正規雇用の作業者など、意外と素性が不確かな人材の出入りが多い場所です。また、クラウドサービスを活用して運用されるシステムも増えています。たとえ不審な行動ができないように、契約書できちんと規定していたとしても、サイバー攻撃を防ぐうえでは何の効力もないと考えた方がよいでしょう。このため、工場での生産に用いる機器や設備を管理・制御するOTにおいても、同様の発想での対策が必要になってきています。サイバー攻撃を受けることがあり得ることを前提に、現場で、早期発見、早期対処できる体制を整備・維持することが重要になります。

 具体的な工場でのセキュリティ対策手法と期待できる効果

具体的な工場でのセキュリティ対策手法と期待できる効果

では、工場でのサイバーセキュリティ対策として、具体的にいかなる場所や場面に、どのような手法を適用し、どのような効果を期待できるのか。簡単に紹介します。対策は大きく2つ、ネットワークや機器などシステム構成面での対策と、建屋や電源/電気設備など物理面での対策に分けられます。

システム中のネットワークでのセキュリティ対策と期待できる効果

ネットワークでの対策のひとつとして、ネットワークの領域を区切る方法があります。リスクの高い領域から、大切な機器・設備を切り離してセキュリティレベルの高いゾーンを隔離する方法です(図5)。ゾーンを細分化することによって、攻撃の被害が広がらないようにする効果もあります。

図5 システムを役割別のゾーンに細分化してそれぞれを隔離して対策した例

出所:経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」

具体的にはVLANなどによる論理的に領域を分割する方法と、領域間でケーブルをつながないことで物理的に分割する方法があります。セキュリティ強度は、前者よりも後者の方が高くなります。一見、後者はケーブルがつながっていないので、万全のセキュリティ対策であるかのように見えます。しかし、実際には、不審者が工場に侵入して直接システムにアクセスすることがあり得るので、万全とは言えません。

その他にも、IPやMACのアドレスによるアクセス制限など接続機器制限や、内部秘匿、通信データ制限、利用者制限、通信監視・制御、構成管理、脆弱性対策、ログ取得などさまざまな切り口からの対策があります。具体的な手法もさまざまで、ユースケースや目的、実現可能なセキュリティ強度を精査して、最適な対策を選ぶ必要があります。

機器でのセキュリティ対策のひとつに通信制限があります。機器に送られてきたデータの内容を調べて、安全で必要だと思われるデータだけアクセスを許す方法です。不要なデータは受け取らないという対策は、最低限必要になります。中程度の通信制限として通信先に注目して制限を加えたり、さらにセキュリティ強度の高い制限が求められる場合にはファイアウォールを導入したりすることになります。ただし、先述したゼロトラストの部分で示したように、ファイアウォールを導入したとしても万全の対策とは言えません。

機器でのセキュリティ対策では、機器中の不要な端子・ソフト・ハードは閉じておく、外部からの持ち込み媒体の検査、通信/接続機器の認証、暗号化による送受信データの保護、利用者制限、実行プログラムの保護や制御、ユーザー管理や暗号化によるファイル保護など多様な方法があります。ネットワークでの対策と同様に、ユースケースや目的、実現可能なセキュリティ強度を精査して、最適な対策を選ぶことが重要になります。

建屋や設備など物理面でのセキュリティ対策

物理面でのセキュリティ対策では、サイバー攻撃を防ぐことができず攻撃を受けてしまった後の対処を想定した対策が中心になります。生産設備や電力・水道・ガスなどインフラ設備などでの被害を最小限に抑え、工場の操業を継続させ、生産ラインでの損失や製品の品質低下などを起こさせないようにします。

対策の対象は、建屋、電源/電気設備、空調など環境、水道設備、機器など多岐にわたります。具体的な対策として、被害の早期発見に向けた監視体制の整備や、設備増設などによるスペアの用意、被害が広がらないような設備・設備の配置など多様な方法があります。

 まとめ

まとめ

製造業においても、企業競争力を高める意味で、DXへの取り組みが重要であることが広く認識されるようになりました。DXへの取り組みに意欲的な人は多くみられます。その一方で、セキュリティ対策については、取り組みに熱量を感じられないように思えます。とかく、オフェンスに比べてディフェンスは地味で、できれば付加価値を生む活動として認められやすいところを優先したい気持ちは分かります。しかし、実際には、DXの取り組みとセキュリティ対策はクルマの両輪であると言えるでしょう。

セキュリティ対策は、専門業者がツールを導入すればそれで万全といった単純なものではありません。経営トップから現場まで、他人任せにせずに、自分事として、セキュリティ対策への取り組みに継続的に携わることが重要になります。

RX Japan株式会社では、日本最大級の製造業の展示会「ものづくり ワールド」を東京で行うほか、大阪・名古屋・九州でも開催しております。その中でも、構成展の一つである「サイバーセキュリティ展」では、製造業でのセキュリティ対策を推進するIT製品やソリューションが数多く出展し、工場セキュリティに関する最新情報を一括収集できる貴重な場になります。さらに、「製造業DX展」では製造業の業務デジタル化、DXを推進するIT製品、サービスなどが出展します。

製造業の最先端事例が学べるセミナーもあるため、足を運んでみてはいかがでしょうか?また、来場だけでなく展示会への出展も受け付けております。気になる方は、お気軽にお問い合わせください。

●ものづくりワールドの出展・来場に関する情報はこちら


執筆者プロフィール

伊藤 元昭

富士通株式会社にて、半導体エンジニアとして、宇宙開発事業団(現JAXA)の委託による人工衛星用耐放射線半導体デバイスの開発に従事。日経BP社にて、日経マイクロデバイスおよび日経エレクトロニクスの記者、副編集長、日経BP半導体リサーチの編集長を歴任。


▼この記事をSNSでシェアする