スマート化する工場の新たな課題、セキュリティリスクへの対策 - OTセキュリティの取り組み

OTセキュリティの要点

自然災害・戦争・感染症などの異常事態が多発する中で、生産を維持・向上させるスマートファクトリーの重要性が改めて認識されている。特に新型コロナウイルス感染症のパンデミックによる様々な制約は、スマートファクトリーの推進が急激に加速された理由の一つといえるだろう。しかしこれまで閉鎖網だった工場やプラントがスマート化することで、セキュリティリスクという新たな課題に直面することになった。この課題を解決するのが、本講演のOTセキュリティである。
OTセキュリティでは、多くの企業が工場やプラントの稼働率だけに注目しがちであるが、はじめに検討すべきは法令遵守である。ハッキングによって不良品を生産し続ければPL法違反に問われかねない。また、ハッキングによって環境汚染を引き起こせば環境関連法に抵触しかねない。たとえ稼働率を維持できたとしても、ステークホルダーをないがしろにすれば賠償金や制裁金で会社の存続に影響を与えかねない。訴訟は回避できてもレピュテーションが低下すれば経営に支障が生じる。したがって、OTセキュリティでは、はじめにハッキングとステークホルダーの被害の関係を可視化することから始めなければならない。また係争に耐えうる説明責任を求められるため、OTセキュリティでは少なくともリスク分析の網羅性と対策の妥当性は説明できなければならないのである。
法令遵守の次に検討すべきは、工場やプラントの稼働率維持である。工場やプラントには利益確保だけでなく、供給責任もあるため、この稼働率維持は重要である。したがって、OTセキュリティでは、ハッキングを受けた場合の暫定生産や早期の復旧方法を検討しておく必要がある。これはハッキングに対するBCP策定と言い換えることもできる。さらにOTセキュリティでは、現状のセキュリティ投資を無駄にしないために、法令遵守や稼働率維持に加え、工場やプラントのスマート化の進展も考慮しておく必要がある。
これらの要求に応えるためには、本講演で説明するIEC62443に沿った設計を行うことが重要となる。
 

1. 法令遵守

従来の工場は物理的に隔離された閉域網で運用が行われていたため、ISO9001をベースとした品質マネジメントやセーフティを意識した対策が主であった。しかし、スマート化が進む今日においては、ハッキングによる顧客・取引先・従業員・地域住民の被害も考慮しなければならず、セキュリティ対策においても説明責任を果たすことが重要となっている。そのためには、網羅的でかつロジカルなセキュリティ対策を規定したIEC62443に準拠することが必須となる。
 

2. 稼働率維持（生産継続）

稼働率を維持するためには容易な侵入を許さない侵入容易性の低減と、被害を最小限にとどめる被害拡大性の低減が重要となる。ITセキュリティは、主に侵入容易性を重視しているが、OTセキュリティでは侵入容易性に加えて、稼働率維持の観点から被害拡大性を低減することも極めて重要となる。
主な対策としては、IEC62443に記載されているゾーン・コンジット設計やパデューモデル設計が挙げられる。ゾーン・コンジット設計とはセキュリティで脆弱な設備機器を複数まとめてセキュリティ対策する考え方で、これにより侵入容易性を低減させ、ハッカーに攻撃を断念させる。パデューモデルとは工場を複数の区画に分割し、区画間にはファイアウォール（FW）を設置する考え方で、ハッカーが生産設備の区画に侵入する前に早期にハッキングを検知し、この区画をインターネットから物理的に切り離すことで、少なくとも暫定生産を実施しようという考え方である。

スマートファクトリーを見据えたOTセキュリティ

工場やプラントは閉鎖網から予兆監視などの理由でIoT化が進み、最近ではサプライチェーンまで仮想化し1つの工場として運用するIoE化まで進展してきた。さらに一部の工場ではデジタルツインの導入も始まっている。スマート化の進展に伴い、工場やプラント内の設備機器や制御機器のプログラムは次々とクラウドに移動していく。このため将来のスマート化を考慮しないと、現状で最適化したOTセキュリティは将来大幅な見直しが必要となり無駄な投資となる恐れがある。これを避けるには、工場やプラントのゾーン・コンジット設計やパデューモデル設計において、クラウドのゼロトラスト設計を考慮し設計する必要がある。実際は、ゼロトラスト設計が施されたクラウド上でゾーン・コンジット設計やパデューモデル設計を実施し、これを現実世界に落とし込む作業を実施することになるという流れである。

デロイト トーマツのスマートファクトリーサービス

デロイト トーマツ サイバーはスマートファクトリーを見据えたOTセキュリティ推進をサポートしている。OTセキュリティサービスにおいてさまざまな強みを有しているが、ここでは2点紹介する。
デロイト トーマツ サイバーのOTセキュリティ簡易アセスメントサービスをご利用いただければ、OTセキュリティで生じるビジネスインパクトが可視化され、OTセキュリティに対する適切な投資額や対策の優先順位を明らかにすることが可能となる。また、このような上流工程だけでなく、戦略・設計・実装・テスト・保守（PSIRT/FSIRT）まですべてを一気通貫で支援できるので大幅なコストダウンが可能となる。
最後にデロイト トーマツ グループのスマートファクトリーサービスについても説明しておきたい。デロイト トーマツ グループでは、工場やプラントのスマート化を推進するための戦略立案や採用すべきテクノロジーの選定、チューニング、組織作り、保守までをグループが一丸となって一気通貫で支援できる体制を整えている。
また、グローバルで工場やプラントのスマート化を推進するためのイノベーションスペースであるThe Smart Factoryも展開している。日本においては京都に続いて2023年秋に東京ラボをオープンする予定である。お客様に多くの気づきを得ていただけるように、デモや実物を見ながら各専門家とスマートファクトリーを議論できる場を提供している。