アジア地域における工場セキュリティ推進のすすめ

はじめに　-工場セキュリティ推進の重要性-

近年、工場におけるサイバーセキュリティを取り巻く環境は、いくつか重要な変化を経験しています。例えば、工場ではますます多くのデバイスが接続されるようになり、生産設備やセンサーなどのIoTデバイスが増加しています。これにより、工場内のネットワークへの攻撃面が広がり、サイバーセキュリティの脅威も増加しています。加えて、工場はさまざまなサプライヤーやパートナーとの連携を必要とします。しかし、サプライチェーンは一連の環として構築されており、そのうちの一つがセキュリティ侵害を受けると、他の環も影響を受ける可能性があります。サプライチェーンのセキュリティリスクが増加することで、工場はより広範な脅威にさらされることになります。

さらに、実際に工場でサイバーインシデントが発生した場合、生産ラインや倉庫機能の停止等、企業の売上に直結する事態になりかねない他、工場内機器/設備が制御不能となった場合、人命が関わる事故が発生する可能性もあることを踏まえると、工場セキュリティに対する重要性は非常に高いものだと考えられます。

アジア地域における工場セキュリティにみられる課題・問題点

しかしながら、特にアジア地域における工場セキュリティの推進に関しては多くの課題・問題点が存在します。ひとつには、工場セキュリティの対応に係る方針等を決定する本社/統括拠点と異なり、具体的にセキュリティ施策を推進・実装する現地の工場におけるセキュリティ担当者の人員・専門的スキルが必ずしも十分ではない点です。加えてそのような現地の状況についても本社/統括拠点側で把握しきれておらず、結果として他地域と比較してセキュリティレベルが十分ではない状態に手を付けられないまま、実際にサイバー攻撃を受けてから初めて現地の実態を知る、というケースも想定されます。

工場セキュリティ推進の要諦

では、工場セキュリティをどのように推進すれば良いのでしょうか。デロイト トーマツ グループは、工場セキュリティの推進には以下6つの要諦が存在しており、これらに基づく各施策を協調させながら網羅的に推進することが肝要であると認識しています。

1. セキュリティ戦略・フレームワークの策定
2. セキュリティアセスメント
3. セキュリティ改善
4. セキュリティコントロール及びツール
5. OCM(組織変革管理)及びトレーニング
6. ガバナンス・オペレーションモデルの構築

本ニュースレターにおいては、工場セキュティ対応全体の方向性を左右することからこれら6つの要諦の中でも特に対応の優先度が高い「1.セキュリティ戦略・フレームワークの策定」に関連して、工場セキュリティ規格のひとつと位置付けられるIEC62443について概要をご説明いたします。

IEC62443遵守の必要性

工場が達成すべきことの中で最も重要なことは製品の品質を保証することであり、これは、製品の製造業者や販売業者に製品の欠陥によって引き起こされた損害に対して責任を負わせることを目的とした製造物責任法（以下「PL法」）を遵守することと同義といえます。そして、PL法が要求している「製造の責任（設計品質通りの製造）」を果たすには、その製品に対して合理的な注意や技術的な専門知識を行使して、製品を設計し、製造し、販売する義務を果たしていると主張すること（開発危険の抗弁）が求められます。開発危険の抗弁として重要な要素として「セーフティ」と「セキュリティ」も含まれるところ、工業用制御システム（Industrial Control Systems, ICS）のセキュリティに関する国際的な標準であるIEC 62443（International Electrotechnical Commission 62443）が、さまざまな制御システムのガイドラインの中でも汎用的であるため多くの国や団体が指標とし、これをベースに工場のセキュリティ確保に向けた取り組みを進めています。

以下では、IEC62443の概要及び各要求事項の詳細についてご説明いたします。

IEC62433の概要

IEC62433は、上述の通りICSのセキュリティを向上させるための包括的なフレームワークで、下記の通り6つの要求事項で構成されています。

① セキュリティ要件定義

② Security by Design

③ セキュア実装設計・実装

④ ペネトレーションテスト＆RTO

⑤ セキュリティガイドライン

⑥ セキュリティマネジメント

このうち、①～④はシステム開発における開発/テスト工程の各工程における要求事項であり、⑤はそれらの各工程の要求事項への対応として実施すべき具体的施策を定め、⑥は①～⑤が問題なく運用されているかをモニタリングし、有事発生時において迅速な対応を行うための組織体制・手続について定められています。このように、IEC62433は製品のライフサイクル全体に要求事項が定められており、当フレームワークの遵守を目指す場合はこれらへ対応していることについて説明責任を果たすことが求められます。

また、これら6つの要求事項への対応として、IEC62443では4つのフェーズに分けて施策を推進することを求めています。　具体的には以下の通りです。

Phase.1「工場システムの現状可視化」←要求事項①「セキュリティ要件定義」に対応

• 工場内設備・ネットワークの可視化
• 現状のセキュリティ対策の実効性評価

Phase.2「Security by Designによるリスク対策群の策定」←要求事項②「Security by Design」に対応

• 工場内の重要リスクの特定
• 特定したリスクへの対策の立案
• 対策に関する費用対効果の確認

Phase.3「セキュリティ対策導入（組織・人・技術・物理）」←要求事項③「セキュア実装設計・実装」及び要求事項④「ペネトレーションテスト＆RTO」に対応

• Phase.2にて立案したセキュリティ対策の導入
• セキュリティ対策が設計通りに実装・導入されているかの評価

Phase.4「モニタリング・対応・復旧」←要求事項⑤「セキュリティガイドライン」及び要求事項⑥「セキュリティマネジメント」に対応

• 技術的セキュリティ対策の危殆化監視
• 組織体制上のセキュリティ対策が正しく機能しているかの監視

おわりに

上述の通り、工場セキュリティの国際標準であるIEC62443への対応は、製品のライフサイクル全体にかけてセキュリティ対策を実施する必要があるものの、対応のために専門的知識・スキルを備えた人員の調達等、様々なリソースに関して制約のあるアジア地域において現地対応に委ねることは困難が伴います。我々デロイト トーマツ グループは、工場セキュリティ分野に係るグローバルな実績を豊富に保有しているほか、その他多種多様なサイバーセキュリティに係るご支援を行っており、その知見を活かして少しでも皆様のお役に立てられればと考えています。本稿がアジア地域の貴社工場におけるサイバーセキュリティ対応のきっかけの一つになれば幸いです。

※詳細については当グループのプロフェッショナルまで問い合わせください。