工場サイバーセキュリティ強化に向けた取り組み事例～OT（オペレーショナルテクノロジー）環境のセキュリティプログラムの確立～

IT/OT Convergenceという言葉をご存知でしょうか？一言で表すと「IT（オフィス環境）とOT（工場環境）がつながり、システムの融合やデータの活用が行われること」です。Convergence、つまり統合のメリットの例として、製造現場の様々なライブデータをIT側で分析し、製造プロセス及び機器メンテナンスの最適化によるコスト削減や生産の安定化などが挙げられます。一方で、IT/OTどちらかの環境がサイバー攻撃を受けた場合、統合による被害が拡大するリスクがあります。今回のニュースレターでは、OT環境のセキュリティプログラムを介し、工場セキュリティ強化を実施しているグローバル日系企業の具体的な取り組みについて紹介します。また、この経験から得たアジアでの工場セキュリティ推進における留意点も共有したいと思います。

セキュリティプログラム確立へのアプローチ

OTセキュリティプログラム構築へのアプローチには、以下の６つの要素から構成されているデロイト グローバルのメソドロジーを応用しています。各要素においてIT側で存在するプロセスや規程などをOTの特徴に合わせて活用することが重要となります。

デロイト グローバルのメソドロジーの要素

• セキュリティ戦略・スタンダードの策定
• セキュリティアセスメント
• セキュリティ改善
• セキュリティコントロールおよびツール
• OCM (組織変革管理)およびトレーニング
• ガバナンス・オペレーションモデルの構築

はじめに、上記の要素毎にチームを構成し、フェーズに分けてOTセキュリティプログラムを構築するアプローチを実施しました。最初のフェーズで１と２に、次のフェーズで３～６について取り組んでいきました。

1. セキュリティ戦略・スタンダードの策定　－　OTセキュリティ戦略を作成する際には、ITセキュリティとの特徴の違い（ITセキュリティ：機密性・完全性を重視、OTセキュリティ:可用性・安全性を重視など）を特定します。OTセキュリティスタンダードは、ISO27001/2、NIST 800-82/53及びIEC 62443をもとにOTとIT双方のセキュリティ基準を含む独自のものが作成されました。また、OTセキュリティスタンダードは現場の方に理解を深めて頂くため、情報セキュリティ部門に加え、エンジニアリング部門、開発部門などからのフィードバックを反映したものとなります。
2. セキュリティアセスメント　－　最初に製造およびR&Dを含むパイロット拠点に向け、OTセキュリティスタンダードをベースにしたアセスメントを行い、その後アセスメントをグローバルに展開しました。パイロット拠点にて実施したアセスメントからOTセキュリティスタンダードの内容や関連する質問項目の評価を行い、スタンダードの更新を行いました。
3. セキュリティ改善　－　アセスメント結果（Gap、改善案）を引き継ぐセキュリティ改善チームが構成され、改善（Remediation）作業が行われています。ここでのポイントはGap毎に優先順位（改善によるリスク低減、改善に必要な費用、期間などを検討）を付けて取り組むことです。一般的にNetwork Segmentation, OT Security Monitoringなどを優先的に取り組む企業が多いと思われます。
4. セキュリティコントロールおよびツール　－　こちらのチームでは全社に展開できるコントロールやツールを検討しています。例えば、OT Security Monitoringに必要なセキュリティ要件の定義やツール検証を行い、コントロール（ツール）の導入支援を行っています。
5. OCM (組織変革管理)およびトレーニング　－　OTセキュリティプログラムの確立には現場の巻き込みが必要となります。OCMチームが起点となり、情報の配信・収集を行っています。また、OT現場向けに独自のサイバーセキュリティトレーニングを実施しています。
6. ガバナンス・オペレーションモデルの構築　－　OTセキュリティプログラム構築はグローバル起点であるケースが多いですが、グローバルとローカル拠点（工場）との役割と責任の明確化、セキュリティコントロール導入後の運用等を検討する必要があります。こちらのチームでは、ガバナンスと運用体制について明確化しています。

アジアでの工場セキュリティ推進における留意点

アジア拠点を含むOTセキュリティプログラム構築する場合、以下の留意点があります。これらは上記６にあるように本社（グローバル）とアジア拠点（工場）のサイバーガバナンス構造を確立した上で連携することが重要となります。アジア拠点におけるOTセキュリティのケーパビリティ―が低い企業が多く、本社を中心にグローバルでサポートする体制が求められています。

• 現場作業員のセキュリティリテラシーが未だ低い傾向
  対応策：アセスメント実施する前に各テーマにおけるサイバーセキュリティについてHigh-Level Education Sessionを行う。評価内容やリスクを説明した後、アセスメントを実施する。
• 工場の資料の整備が不十分（NW図面やアセット情報等）
  対応策：言語の違いも考慮し、ツール等を用いてWhiteboarding Exerciseを行う。ディスカッション中の内容をその場で図式化し、情報を共有する。
• 各国のサイバーセキュリティに係る法律・規制等に合わせたプロジェクト推進が必要
  対応策：各国の規制等に従い、情報共有できる内容及び方法を事前に把握し、アセスメントやツールの導入方法・期間を計画する。

デロイト トーマツ グループでは、日系企業の工場サイバーセキュリティ強化に向けた支援を行っています。詳細については当グループのプロフェッショナルまでお問い合わせください。

本稿に関連する弊社サービスのご紹介

• OT（工場）サイバーセキュリティアセスメントサービス
• OTサイバーセキュリティプログラム構築支援
• OTサイバーガバナンス体制構築支援
  

著者：黒田　俊平
※本ニュースレターは、2021年6月7日に投稿された内容です。