米国の製造業が、工場の制御システム(OT)に関わるサイバーセキュリティ対策において、欧州の同業者に後れを取っているとの調査結果が報告されました。この事実は、スマートファクトリー化を進める日本の製造業にとっても、決して対岸の火事ではありません。本稿では、この背景を読み解き、日本の現場が取るべき対策について考察します。
欧米で明らかになったOTセキュリティの格差
最近の海外報道によると、米国の製造業は、工場の生産設備を制御するOT(Operational Technology)領域のサイバーセキュリティ対策において、欧州企業に比べて遅れが見られるとのことです。特に、遠隔で設備を保守・管理する際のリモートアクセスなど、4つの主要分野でその差が顕著であると指摘されています。
OTとは、PLC(プログラマブルロジックコントローラ)やSCADA(監視制御システム)に代表される、工場の機械や生産ラインを物理的に動かすための技術全般を指します。従来、これらのシステムは独立した閉鎖的なネットワークで運用されてきましたが、IoT化やDX(デジタルトランスフォーメーション)の進展に伴い、社内のITネットワークや外部インターネットと接続される機会が急増しました。これにより、生産性や効率性が向上する一方で、これまで想定されてこなかったサイバー攻撃のリスクに晒されることになったのです。
なぜ、米国は欧州に後れを取っているのか
今回の調査で指摘された「4つの主要分野」の詳細は不明ですが、一般的にOTセキュリティで課題となるのは、「リモートアクセスの管理」「脆弱性への対応」「資産の可視化」「インシデント対応体制」などです。特に、コロナ禍以降に普及したリモートメンテナンスは、便利である反面、不正アクセスの入口となりやすい経路です。アクセス権限の管理や通信の暗号化が不十分な場合、サイバー攻撃者にとって格好の標的となります。
一方、欧州、特にドイツでは「インダストリー4.0」を国家戦略として推進する中で、スマートファクトリーの構想段階からセキュリティを必須要件として組み込んできました。また、NIS2指令のようなサイバーセキュリティに関する法規制が強化されたことも、企業に対策を促す大きな要因となっています。つまり、欧州では、生産性向上とセキュリティ対策が一体のものとして捉えられているのに対し、米国ではまだ対策が後手に回っている状況がうかがえます。これは、効率化を優先するあまり、セキュリティ投資が後回しにされがちな日本の製造現場にとっても、示唆に富む内容と言えるでしょう。
日本の製造現場における現状と課題
日本の製造現場を振り返ると、同様の課題が散見されます。長年にわたり安定稼働してきた設備には、サポートが終了した古いOS(Windows XPや7など)を搭載した制御用PCが現役で稼働しているケースも少なくありません。これらの機器は、脆弱性が発見されても修正パッチが提供されないため、非常に高いリスクを抱えています。
また、IT部門と製造部門の間に組織的な壁が存在することも、対策を難しくする一因です。IT部門はセキュリティの専門知識を持ちますが、24時間365日の安定稼働を最優先する工場の事情には疎い場合があります。逆に、製造部門は生産設備には精通していますが、最新のサイバー脅威に関する知見は十分でないかもしれません。この連携不足が、工場全体のセキュリティレベルの低下を招くことになります。
日本の製造業への示唆
今回の欧米の動向は、日本の製造業が今後進むべき道を考える上で、重要な指針となります。以下に、実務的な観点からの要点と示唆を整理します。
1. OTセキュリティを経営課題として認識する
サイバー攻撃による工場停止は、生産計画の遅延だけでなく、サプライチェーン全体への影響や顧客からの信頼失墜に直結します。OTセキュリティは、もはやIT部門や現場担当者だけの問題ではなく、事業継続性を左右する経営課題であると認識し、経営層が主導して取り組む必要があります。
2. 自社の現状把握から始める
まずは、自社の工場内にどのような機器が存在し、それらがどのようにネットワークに接続されているかを正確に把握することから始めなければなりません。資産台帳を整備し、リスク評価を行うことで、どこに脆弱性があり、何を優先的に対策すべきかが見えてきます。
3. IT部門と製造部門の協調体制を築く
セキュリティ対策を実効性のあるものにするためには、ITの知識と製造現場の知見を融合させることが不可欠です。定期的な情報交換の場を設け、互いの立場や制約を理解し、現実的な対策を共に検討していく体制の構築が求められます。
4. スマートファクトリー化とセキュリティ対策を一体で推進する
これから導入する新しい設備やシステムについては、企画・設計の段階からセキュリティ要件を組み込む「セキュリティ・バイ・デザイン」の考え方を取り入れることが重要です。生産性向上とセキュリティ確保はトレードオフの関係ではなく、両立させるべき車の両輪と捉えるべきです。
欧米の先行事例や課題を学ぶことは、私たちが同じ轍を踏まないための貴重な機会です。自社の状況に置き換え、一歩ずつ着実に対策を進めていくことが、将来の競争力を維持・強化する上で不可欠と言えるでしょう。
コメント