「止められない工場」のサイバーセキュリティ：稼働時間と安全性の両立を目指して

工場のスマート化が進む一方、サイバー攻撃のリスクは増大しています。本記事では、生産継続を最優先するOT（制御技術）環境と、情報保護を重視するIT環境の間に存在する根本的なギャップを解説し、日本の製造業がとるべき現実的な対策を探ります。

なぜ製造業がサイバー攻撃の標的となるのか
ITとOTの間に横たわる「深い溝」
稼働時間とセキュリティのギャップをどう埋めるか
完璧な防御から「回復力（レジリエンス）」への発想転換
日本の製造業への示唆

なぜ製造業がサイバー攻撃の標的となるのか

近年、製造業を狙ったサイバー攻撃のニュースを目にする機会が増えました。その背景には、工場のスマート化、いわゆるスマートファクトリーの進展があります。生産性向上のために様々な設備やセンサーがネットワークに接続されるようになった結果、サイバー攻撃の侵入口も増加しているのが実情です。生産ラインが停止すれば甚大な経済的損失が発生するだけでなく、サプライチェーン全体に影響が及ぶため、攻撃者にとって製造業は魅力的な標的と見なされています。また、独自の製造ノウハウや技術情報といった知的財産が狙われるケースも少なくありません。

ITとOTの間に横たわる「深い溝」

サイバーセキュリティ対策というと、多くの方はIT部門が担当する情報システムのセキュリティを思い浮かべるかもしれません。しかし、工場の生産設備を制御するOT（Operational Technology）の世界では、ITとは異なる原理原則が存在します。この違いを理解することが、工場セキュリティの第一歩となります。

ITセキュリティの優先順位は、一般的に「機密性（Confidentiality）」「完全性（Integrity）」「可用性（Availability）」の順、いわゆるCIAです。情報の漏洩や改ざんを防ぐことが最も重要視されます。一方で、工場のOT環境における優先順位は真逆です。すなわち、「可用性」「完全性」「機密性」の順となります。何よりもまず、生産ラインを止めないこと、つまり「稼働時間（Uptime）」の確保が最優先されるのです。生産現場の方々であれば、セキュリティパッチを適用するために24時間稼働のラインを安易に停止できない、という事情は痛感されていることでしょう。このITとOTの文化や優先順位の違いが、工場へのセキュリティ対策の導入を阻む大きな壁となっています。

稼働時間とセキュリティのギャップをどう埋めるか

生産を止められないという制約の中で、セキュリティレベルを向上させるには、現実的なアプローチが求められます。闇雲に対策を講じるのではなく、段階的かつ計画的に進めることが重要です。

まず取り組むべきは「資産の可視化」です。自社の工場ネットワークに、どのような機器が、いつから、どのように接続されているかを正確に把握することから始まります。長年稼働している古い制御装置や、一時的に接続されたままになっている保守用PCなど、管理台帳から漏れている資産が思わぬ侵入口となる可能性があります。

次に、可視化された資産の「脆弱性管理」を行います。すべての脆弱性に一度に対応することは現実的ではありません。どの設備が生産に最も大きな影響を与えるか、どのような攻撃を受ける可能性があるかといったリスクを評価し、対策の優先順位を決定するリスクベースのアプローチが有効です。IT部門とOT部門（生産技術や保全担当者）が協力し、それぞれの知見を持ち寄ってリスク評価を行うことが、的確な対策につながります。

完璧な防御から「回復力（レジリエンス）」への発想転換

残念ながら、サイバー攻撃を100%防ぎきることは不可能である、というのが今日の常識です。そこで重要になるのが、「サイバーレジリエンス」という考え方です。これは、攻撃による侵入を前提とした上で、被害をいかに最小限に抑え、いかに迅速に検知・対応し、事業を復旧させるかという能力を指します。

具体的には、異常を早期に検知する仕組みを導入したり、万が一生産ラインが停止した場合の復旧手順をあらかじめ定めておく（インシデントレスポンス計画）といった準備が求められます。重要なのは、机上の計画だけでなく、定期的な訓練を通じて、関係者がいざという時に迷わず動けるようにしておくことです。

日本の製造業への示唆

本記事で解説した内容は、日本の製造業にとっても決して他人事ではありません。むしろ、長期間にわたって大切に設備を使い続ける文化や、系列やサプライヤーとの緊密な連携といった日本の強みが、見方を変えればセキュリティ上の課題となる可能性も秘めています。以下に、実務への示唆をまとめます。

1. 経営層の認識改革:
OTセキュリティはIT部門だけの課題ではなく、事業継続を左右する経営リスクであるという認識が必要です。コストではなく、未来への投資として捉え、全社的な取り組みを主導することが求められます。

2. ITとOTの協調体制構築:
情報システム部門と生産現場の担当者が、互いの文化や制約を尊重し、定期的に対話する場を設けることが不可欠です。共通の言語でリスクを議論し、共に解決策を探る協力体制が、実効性のある対策の基盤となります。

3. まずは足元からの着手:
大掛かりなシステム投資の前に、まずは自社の工場にある制御機器の棚卸しとネットワーク構成の可視化から始めることが、現実的な第一歩です。現状を正しく把握しなければ、適切な対策は見えてきません。

4. サプライチェーン全体での視点:
自社のセキュリティ対策はもちろん重要ですが、今や攻撃はセキュリティレベルの低い取引先や協力会社を経由して行われることも少なくありません。自社だけでなく、サプライチェーン全体でのセキュリティレベル向上を視野に入れた取り組みが、今後の競争力を左右する要素となるでしょう。