OTセキュリティとは？工場のセキュリティを強化する方法を解説

製造業などの生産拠点を狙うサイバー攻撃が巧妙化する中で、工場をはじめとするOT環境におけるセキュリティ強化の必要性が高まっています。そこでこのコラムでは、取引先を含むサプライチェーンの安全にも関わるOTセキュリティについて解説。工場のセキュリティ強化に取り組む際のステップと、その具体策もお伝えします。

御社の「セキュリティ」課題を見つけよう！1分でわかる簡単チェックリスト | 中小企業応援サイト

OTセキュリティとは？

OTセキュリティとは、製造業の工場などの生産拠点におけるセキュリティ活動のことです。生産拠点特有の情報に関する課題に対応するため、一般的なオフィス環境のセキュリティ対策とは異なる、OT環境に合ったセキュリティリスク低減の取り組みが求められます。生産部門で働く人や工場を管理する人にとってOTセキュリティは、その必要性や具体策について知っておくべき重要なテーマです。

ITとOTの違いは？

企業や一般社会におけるセキュリティを考える上で一般的なテーマが、IT環境でのセキュリティです。このITとOTの違いはどこにあるのでしょうか。

ITは「Information Technology」の略で、ネットワーク技術やコンピューター技術の総称のこと。工場などの限られた環境ではなく、ビジネスや社会で広く普及している技術です。

一方でOTは、「Operational Technology」の略で、生産ライン、自動搬送設備、自動倉庫、生産管理システムなどの工場を動かす技術全般を指します。また、OTネットワークとは、こうした生産ライン、自動搬送設備、自動倉庫、生産管理システムなど、工場を動かすさまざまな機器をつなぐネットワークのこと。OTセキュリティは、このネットワークを含むOT環境の安全を守るための活動です。

OT環境のセキュリティ対策が求められる理由

ではなぜ今、OTセキュリティが重視されているのでしょうか。これまで工場内のネットワークは、インターネットとつながることのない閉域環境を前提に設計されてきました。そのため、外部からサイバー攻撃を受けるリスクが低いと考えられてきました。

ただ近年では生産拠点においてもIoTなどの技術が導入され、工場のさまざまな機器をネットワークにつなぐ必要が生じています。ネットワークにつながることで、生産拠点のセキュリティ脅威への接点が増加し、従来は起こりえなかったサイバー要因による事業被害の可能性が増加しているのです。また、ターゲット企業の取引先を狙うサプライチェーン攻撃など、サイバー攻撃の手口も複雑化、巧妙化しているため、これまで以上に幅広い対策が求められています。

工場を狙うサイバー攻撃は、生産停止など、製造業にとって致命的なビジネスリスクに直結します。甚大な被害を防ぐために、ITとOTの両面で『工場のセキュリティ強化』が今、求められているのです。

工場が対策すべきセキュリティリスク

では、生産拠点が対処すべき工場のセキュリティ関連リスクとは何でしょうか。主な脅威は次のとおりです。

工場内で使用されず放置されているパソコンやスマートフォン、タブレットなどのデバイスや、従業員が許可なく使っているツールがある工場は、注意が必要です。管理されていない野良USBメモリーや野良Wi-Fi、また、セキュリティ管理外に置かれているパソコンは、企業全体ではセキュリティ対策がとられていても、保護の対象から外れていることがあります。

OSがアップデートされていないパソコンも、最新のセキュリティパッチが適用されておらず、脆弱性等が放置されている可能性があり危険です。こうしたデバイスや機器の管理不足が、工場内のセキュリティレベルの低下を招きます。

悪意のあるソフトウェア・マルウェアの感染も、工場に大きな被害を及ぼすセキュリティリスクのひとつです。マルウェア感染によって、外部から製品情報やノウハウ等の企業の機密情報を窃取される危険性があります。

工場の稼働に影響を与えるサイバー攻撃にも注意が必要です。生産管理システムなどがサイバー攻撃を受けてランサムウェアに感染すると、機械が不具合を起こしたり、停止したりする可能性もあります。工場の生産停止は、多額の損害や、取引先からの信頼喪失にもつながります。

工場設備の停止や製品の品質不良を狙うプログラムやデータの改ざんも、工場が対策すべきセキュリティリスクのひとつです。安全制御機能の停止によって、操業や作業の安全が損なわれる事態も考えられます。品質不良によるブランドの毀損や生産上の事故など、大規模な損害を招く可能性もあるため注意が必要です。

御社の「セキュリティ」課題を見つけよう！1分でわかる簡単チェックリスト | 中小企業応援サイト

工場のセキュリティ対策の導入ステップ

では、工場のセキュリティ強化の取り組みは、どのような手順で行えばよいのでしょうか。次の3つのステップに従って対策を進めましょう。

まずは、工場のセキュリティの目標設定や、セキュリティに関する要件の整理を行いましょう。経営層の取り組みや法令などの内外要件を整理し、コンプライアンス対応と責任体制の確立を行います。また、保護対象となる業務やデバイスなど、セキュリティ対策の検討・企画に必要な要件を整理。リスク認識と対象範囲の明確化を行った上で、運用ルールを作成しましょう。

ステップ1で整理した工場のセキュリティに関する要件をふまえて、セキュリティ対策方針を定めます。その上で、想定される脅威に対するシステム構成面と、物理面のセキュリティ対策を企画。生産現場の実態と、セキュリティ運用面、また技術対応のバランスを考慮した対策を立案しましょう。

ステップ2で立案したセキュリティ対策を実行しながら、ライフサイクルでの対策や、サプライチェーンとしてのセキュリティ対策を実施します。事業の状況や環境、技術の変化に対応できるよう、対策や運用状況の見直しや改善を行っていきましょう。

工場のセキュリティ強化の具体策

上記の3つのステップ内で実施する具体的な取り組みは、以下のとおりです。

業務やデバイス、システムなど、工場のセキュリティ保護対象を整理します。サイバー攻撃によって、ビジネスリスクに発展する被害が誘発される可能性のある機器やシステムを洗い出しましょう。サイバー攻撃のリスクと業務の重要度をふまえて、保護対象の範囲を明確化します。

セキュリティ管理体制の確立も重要です。工場のセキュリティ（OTセキュリティ）責任者を設定し、通常時とインシデント発生時、それぞれの管理体制を構築しましょう。

また、機器の設定やセキュリティシステムの導入によって、工場内のデバイスやソフトウェアの安全性を向上。高度化するサイバー攻撃に対処するため、運用開始後も、チェックリストを活用したセキュリティの定期評価を行うなど、ライフサイクルでの対策を実施していくことが重要です。

サイバー攻撃による異常を早期に発見・対処することで、被害を最小限に止めることも重要です。機器やソフトウェアの異常を検知するシステムの導入などの対策を進めましょう。異常発生時を想定して、対処手順や役割分担についてルールを整備しておくことも大切です。

セキュリティ教育や訓練など、工場のセキュリティに関する正しい認識と、インシデントの対処方法を学ぶ機会を設けましょう。特に、工場内で従業員ひとりにつき1台のパソコンがない環境ではセキュリティ対策に不慣れなケースが多いため、サイバー攻撃やシステム障害を想定したリアルな訓練が重要です。また、管理者に届け出のない野良USBメモリーの使用を禁止するなど、デバイスや機器の使い方に関するルールも整備し、各従業員が順守するように教育しましょう。

サプライチェーンの広がりによって、セキュリティ対策が不十分な企業を手始めに狙うサイバー攻撃が増えています。事業や取引先の信頼を得て、関係を守るためにも、OTセキュリティを強化しましょう。取引先でサイバー攻撃の被害が発生した場合の自社事業への影響度を把握した上で、機器やシステムのベンダー、業務委託先を含めた関連事業者との間でも、管理体制を構築・強化しましょう。

関連事業者に対しても、自社内のセキュリティの定期評価で用いるチェックリストと同様のリストを使って、セキュリティ対策の実施・運用状況の確認や見直しを行うことも重要です。

大切な製品を守るため工場のセキュリティを強化しよう

製造に従事する企業の工場のセキュリティ対策の目的は、「現場の安心安全と、生産活動の維持」です。工場のセキュリティは、自社の事業を守るだけでなく、従業員が安心して働ける環境を作ることにもつながるのです。

また、工場のセキュリティ強化は、サプライチェーンでつながる取引先をセキュリティリスクから守るためにも、重要な取組みです。顧客に求められる高品質なものづくりを続けるため、工場特有のセキュリティリスク低減の取り組みを進めましょう。

記事執筆
中小企業応援サイト 編集部 （ リコージャパン株式会社運営 ）

全国の経営者の方々に向けて、経営のお役立ち情報を発信するメディアサイト。ICT導入事例やコラム、お役立ち資料など「明日から実践できる経営に役立つヒント」をお届けします。新着情報はFacebookにてお知らせいたします。