工場のセキュリティガイドラインについて

経済産業省が2022年11月16日に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を公開しました。

工場セキュリティの見直しが求められる理由は、工場のスマートファクトリー化が進み、インターネットに接続された機器が急速に増大したためです。工場システムのセキュリティ対策を現場レベルで講じるだけでなく、経営層が主体となり、工場全体のリスクマネジメントを見直す必要があります。

本記事では、工場セキュリティの見直しが必要な背景や、経済産業省が作成したガイドラインの概要、工場セキュリティの土台となる構成管理の重要性をわかりやすく解説します。

工場セキュリティの見直しが必要な背景
経済産業省の工場セキュリティガイドラインのポイント
セキュリティ対策の実施、運用におけるポイント
- PSIRT（プロダクト・セキュリティー・インシデント・レスポンス・チーム）の導入
- 工場セキュリティの土台としての構成管理
まとめ

工場セキュリティの見直しが必要な背景

なぜ工場セキュリティの見直しが必要なのでしょうか。工場では、産業制御システム（ICS）や制御機器（FA）が中心となった工場システムが稼働しています。

これまでの工場システムは、接続先が内部ネットワークに限られ、インターネットなどの外部ネットワークに晒されるケースが想定されていませんでした。しかし、AIやIoT技術を取り入れたスマートファクトリーの流れのなかで、工場システムが抱えるセキュリティリスクが増加しています。^［注1］

ＩｏＴ化や自動化の流れの中で、個別の機械やデバイスの稼働データの利活用の可能性が広がり、新たな付加価値が生み出される取組が進められる一方で、工場等のネットワークをインターネット等のネットワークにつなぐ必要性や機会が増加することによる、新たなセキュリティ上のリスク源も増加している。

［引用］経済産業省：工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf

経済産業省のガイドラインでは、具体的なセキュリティリスクとして、以下の8点を挙げています。^［注1］

工場システムがサイバー攻撃を受けると、製造業で特に重視されるBC（Business Continuity事業継続）／SQDC（安全、品質、納期、コスト）を中心として、さまざまな価値が毀損されることになります。

製品事業の伸張や事業／生産の継続(BC：Business Continuity)への影響
工場の安全確保（S：Safety）、製品の品質確保（Q：Quality）、納期遵守・遅延防止(D：Delivery）、コスト低減（C：Cost）への影響
工場システム及び機器の正常動作確保、適正なフィードバック制御の実現の妨害
製品や生産（ノウハウ）に関わる情報やデータの外部漏えい
自社工場の機器を踏み台にした、エンジニアリングチェーン、サプライチェーン、バリューチェーンの連携先へのセキュリティ問題の拡大
意図せず製品に内包された不正な部品や悪意のある機能（マルウェア）による、外部からの不正な利用・制御や、製品の稼働の妨害
製品利用者の情報の外部漏えい設備の規定外の作動による従業員の健康への影響
設備の規定外の作動に端を発した災害による近隣住民の生活への影響

経済産業省の工場セキュリティガイドラインのポイント

経済産業省の工場セキュリティガイドラインでは、工場システムのセキュリティを作り上げる過程を3つのステップに分けています。^［注1］それぞれの概要を簡単にみていきます。

ステップ	概要
ステップ1：内外要件（経営層の取組や法令等）や業務、保護対象等の整理	工場システムのセキュリティを検討するうえで、実施する内容を妥当なものとするために必要な情報を収集、整理する。
ステップ2：セキュリティ対策の立案	ステップ1で収集・整理した情報に基づき、工場システムのセキュリティ対策方針を策定する。
ステップ3：セキュリティ対策の実行、及び計画・対策・運用体制の不断の見直し（PDCAサイクルの実施）	ステップ2で導入した物理面／システム構成面での対策に加え、ライフサイクルでの対策や、サプライチェーンを考慮した対策を実施する。実施・運用状況とその効果の確認、及び評価・見直しを行う。

ステップ1：内外要件（経営層の取組や法令等）や業務、保護対象等の整理

まずは経営層のリーダーシップの元に、工場システムのリスクアセスメントを実施する必要があります。経営目標（特にBCP）及び外部要件（法規制など）を整理した上で、工場システムが使われる業務の洗い出しと保護対象の洗い出しを行います。業務の重要度に基づき保護対象のセキュリティ対策の重要度／優先度を検討し、保護すべき機器・データの優先順位付けなどを行います。

ステップ2：セキュリティ対策の立案

リスクアセスメントの際に収集した情報をベースにして、セキュリティ対策の方針を具体的に決めていきます。工場のセキュリティ対策は、「システム構成面での対策」と「物理面での対策」の2種類に分かれます。^［注2］

システム構成面での対策	ネットワークにおけるセキュリティ対策機器におけるセキュリティ対策業務プログラム・利用サービスにおけるセキュリティ対策
物理面での対策	建屋に関わる対策電源／電気設備に関わる対策環境（空調など）に関わる対策水道設備に関わる対策機器に関わる対策物理アクセス制御に関わる対策

工場のセキュリティ対策は外部ネットワークからの攻撃だけなく、不正侵入者などによる攻撃を受ける可能性も考慮し、システム構成面、物理面の両方から工場のセキュリティ対策を強化しましょう。

ステップ3：セキュリティ対策の実行と改善

ステップ2で立案したセキュリティ対策に基づいて、工場システムのセキュリティを強化していきます。セキュリティ対策をただ実行するだけでなく、運用体制を不断に見直し、改善すべき点がないか検討する必要があります。工場システムを一つのライフサイクルとみなし、PDCAサイクルを回しながらセキュリティ対策の実行と改善を繰り返しましょう。

また、サプライチェーンが広がるにつれて、サプライチェーンに起因したセキュリティリスクも増大します。セキュリティ対策が進んでいない企業がサイバー攻撃を受け、サプライチェーン／バリューチェーンの連携先まで影響を及ぼす事例が発生しています。

工場内でセキュリティ対策を完結するのではなく、サプライチェーンやエンジニアリングチェーンへと裾野を広げていき、サプライチェーン全体でセキュリティ対策を講じ、取引先などともセキュリティ上の対応について確認することが大切です。

セキュリティ対策の実施、運用におけるポイント

セキュリティ対策・運用を実施していくためには、新たに発見されるセキュリティリスクに対して、継続的かつ迅速に適切な対応を取る必要があります。そのためには、専門の体制と情報基盤が必要となります。

PSIRT（プロダクト・セキュリティー・インシデント・レスポンス・チーム）の導入

スマートファクトリーのセキュリティ対策を進める企業において、昨今組織の立上げや検討が急増しているのが、PSIRT（プロダクト・セキュリティー・インシデント・レスポンス・チーム）です。PSIRTは、情報システム部門、生産部門、開発部門、品質保証部門などの部門から人材を募り、自社の工場システムの脆弱性を効率的に分析する部署を指します。

たとえば、医療機器メーカーの日本光電工業は2022年4月にPSIRTを常設しました。PSIRTが調整役となり、脆弱性の情報収集・分析を各部署に振り分けることで、より迅速にセキュリティの穴を塞ぐ仕組みになっています。IT企業などがPSIRTの導入支援サービスそのものをパッケージ化し、他社に提供しているケースもみられます。

工場セキュリティの土台としての構成管理

新たに発見された脆弱性に対して自社の工場へのリスク・影響を把握し、変更を管理するといった、工場セキュリティの土台となるのが、構成管理（構成情報管理）です。構成管理とは、工場内の機器やアプリケーションの構成要素情報（システムを構成するハードウェア、ソフトウェアなどの情報）を保持し、脆弱性の有無を把握することを意味します。構成管理に取り組み、脆弱性の情報に基づいて絶えずアップデートすることで、サイバー攻撃を未然に防止できます。構成情報は存在しても散在している、また最新化されていない等で活用できていないケースが多いのではないでしょうか。工場セキュリティ対策・運用の実効を高めるには、工場内に散逸した構成情報を一箇所に集約し、工場全体のライフサイクルを通じて追跡していくプラットフォームの導入が必要です。