実践的なOTセキュリティの進め方
OT(制御系)セキュリティに対する取り組みの重要性は、大手製造業にかぎらず、中堅製造業や製造業以外の設備産業にも共通です。ITセキュリティを充実させてもOTセキュリティに手が回らなければ、“頭隠して尻隠さず”ですし、攻撃者は対策が甘いところを狙うからです。実際、2022年には大手自動車メーカーの部品サプライヤーがサイバー攻撃を受けて操業に影響が生じるという事案もありました。
皆様の勤務先では、どのようにOTセキュリティ対策を講じているでしょうか。もし、まだ適切な対策を講じていないという状況でしたら、以下のステップに沿って取り組んでいただくとよいと思います。ITセキュリティも同じですが、オーソドックスではあってもきちんと手順を踏んで進めることが結果的には早道であると考えるからです。
①経営陣の理解
OTセキュリティについて、まずは経営陣の理解を得ることが不可欠です。しかし、OTセキュリティには馴染みがなく費用などもかかるので、ITセキュリティよりも理解を得ることが難しい面があります。そこで同業他社ですぐれた対策を行っているところがあればその情報を報告したり、それができなければ、OTセキュリティの全般動向を報告するといいでしょう。
また、取引先や国からの要請がある場合は特に効果的です。例え仮定の話でも工場の操業停止やサプライチェーンへの影響などを想定し、具体的な損害内容や想定損害額を報告するのもよいかもしれません。IT/OTの両面におけるセキュリティ対策が企業にとって重要なガバナンス対策であることを理解してもらうことが必要です。
②製造部門との調整
次のステップは製造部門との調整です。製造部門は生産性向上やコストダウンには関心がありますが、セキュリティへのそれは薄く、時には"価値を生まない金食い虫"と認識している場合もあります。本社のIT部門はOTのことは管轄外である一方、製造部門はITセキュリティへの問題意識がありませんから、筆者の経験上、OTセキュリティの責任を押しつけ合うことも起きます。
費用をどこが負担するのかも問題になります。これに関しては個々の企業によって異なりますので正解はありませんが、本社IT部門が責任部署となり、製造部門が日々の運用を行い、費用負担をする形でIT部門長と製造部門のトップや工場長が握るのが妥当だと考えます。どのように役割分担するにせよ、製造部門が主体的にOTセキュリティに取り組むことを優先することが大事です。
③問題の明確化
体制ができたら、OTセキュリティ上の問題点を明確にすることに取り組みます。外部の有識者やコンサルタントに依頼するとポイントを把握しやすいですが、費用がかかります。自社で取り組む場合は、経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」や、一般社団法人JPCERTコーディネーションセンターの「J-CLICS STEP1/STEP2(ICSセキュリティ自己評価ツール)」を活用するとよいと考えます。
これらは一長一短がありますので、自社の状況に応じて使い分けされることをおすすめします。なお問題の明確化において重要なことは当然ですが、IT部門と製造技術部門や設備担当部門が協力することです。
④外部からの攻撃を防御
次にやるべきことは、外部からの攻撃や侵入を防御するための対策です。これに関しては、そもそも工場内のネットワーク構成がどうなっていて、どのような制御系機器があって、それが外部にどうつながっているのかを把握しないと対策の打ちようがありません。おそらく、完成したばかりの工場でない限り、完全に把握はできないと思います。
したがって過去のものでも良いのでドキュメントと資産管理台帳を集めて整理することから始めましょう。どうしてもわからない場合は外部の有識者や資産管理ツールを活用して現状を把握して下さい。その後は少なくともIT/OTネットワークの分離をすることをおすすめします。
分離をしておくと万が一、IT側が攻撃され、侵入されてもOT側に侵入される可能性が低くなるため、工場停止のような最悪の事態を防ぐことができます。ちなみに、ITネットワークと違ってOTネットワークは簡単に停止できない点に注意する必要があります。
⑤内部からの漏洩を防止
外部からの攻撃防御に加えて、内部からの漏洩を防止する対策も重要です。これに関して先に実施すべきなのが、従業員の教育です。従業員に悪意がなくても知識不足や危機感の欠如などから、インシデントを引き起こす可能性があります。それを防ぐべくOTセキュリティの重要性やインシデント発生時の被害の甚大さを、eラーニングやリアル研修で理解してもらいます。
一方、悪意のある従業員がいることを想定し、悪さができない、あるいはしてもすぐに発覚することを教育で理解させるとよいです。また外部の委託業者やそこの従業員が原因となる場合もあるので、入退室などの管理や規制などを強化することが重要です。
⑥インシデント発生時の拡大防止対策を策定
対策を講じるだけでなく、攻撃を防げずに侵入された状況を想定して、被害の拡大を防ぐ策を用意することも重要です。有効なのが「検知→対応→復旧体制」の構築です。検知については24時間365日の監視体制の構築が最も望ましいですが、相応の費用が発生するので、少なくとも各種ログを取得することが必要になります。
対応については、対応体制の構築とインシデントシミュレーション訓練の定期的な実施です。復旧体制についてはバックアップデータの取得と安全な保管が重要になります。このあたりについてはITとOTの間に違いはありません。いざという時に慌てないように、上記の対応を計画的に時間をかけて実行することが重要です。これが「転ばぬ先の杖」となるでしょう。
筆者プロフィール
藤城 克也 (ふじしろ かつや)
小林製薬で主として人事部門、経営企画部門、IT部門の責任者を経て、同社のCIOを約7年間勤め、2022年12月末に同社を定年退職。現在は個人事業主としてCIO Loungeの活動や複数の企業と契約を締結し、人事やITのコンサルティングを行う。趣味はロードバイクで週末を中心に走り、月間走行距離は800~1000kmを目標に汗を流している。