産業制御システムなどOTのセキュリティ対策が叫ばれて久しい昨今。しかし、ITと違い、重要性の認識がいまだに低く、総じて導入は進んでいないのが現状です。そうしたなか、大手製造業の工場ではセキュリティ対策が盲点となった重大な事故が発生しています。
そのような背景を踏まえ、本レポートでは、工場セキュリティ対策を事業継続とレピュテーションの観点から経営リスクとして捉え、その本質に迫ります。
なお、本レポートは全4回を予定しており、今回はその第1回として、「今なぜ工場セキュリティ対策を考えるべきなのか」、改めて解説します。

今なぜ工場セキュリティ対策なのか

近年、確かにOTのセキュリティ対策は前進を始めました。しかしながら、ITと比べると、そのスピードは遅いとしか言いようがありません。
リスクに応じた対策が講じられていないのはもちろんのこと、取り巻く環境の変化によるリスクの増大に対処できていないのです。

経営リスク-1-01

コロナ禍で環境変化が加速

新型コロナウイルス感染症による事業環境の変化で、リモートワークに必要なネットワークのインフラ整備やそのセキュリティ対策に注目が集まっています。これは、ITを取り巻く環境変化だと思われがちですが、実はOTにも大きく関係するものです。
2020年4月に始まった最初の緊急事態宣言。工場のOTネットワークに急激な変化が起こります。突貫でインターネットVPNなどへの接続が始まったからです。工場に出入りする従業員数を制限するため、ボイラーや空調など付帯設備の監視においてリモート化が進みます。また、トラブル時のリモート保守についても、その対象範囲や対応頻度が拡大しました。
今まで頑なに「インターネットへの接続は厳禁」とされていたOTネットワーク。その根底が、あっという間に覆されたのです。

経営リスク-1-02

つながる工場への期待

古くは1980年代のファクトリーオートメーション(FA)、2000年代にはサプライチェーンマネジメント(SCM)が進み、工場は外部とネットワークでつながる時代へ移ります。さらに近年では、第4次産業革命やSociety5.0といった、デジタル化を加速する動きが出ています。
しかし、そうしたスマートファクトリーと呼ばれる「つながる工場」が定着したかと言うと、まだまだ限定的ではないでしょうか。その原因は、つながるという手段が目的化してしまい、目指すべき本質が欠けていたことにあると言われています。

つながる工場による付加価値向上とは何か
そして現在、デジタルトランスフォーメーション(DX)の推進などで、デジタル化の本質を追求する企業が増えています。サイバー空間とフィジカル空間を融合することによる競争優位の構築。コロナ禍の環境変化に時をあわせ、目的のための手段として、「つながる工場」が本格化することが期待されているのです。

経営リスク-1-03

増大するリスクとは

こうしたなか、工場のセキュリティ対策で増大するリスクにはどのようなものがあるのでしょうか?
以下、項目別に見ていきます。

境界防御による安全神話の崩壊
境界防御とは、ネットワーク間を接続する境界へ防護壁(ファイアウォール等)を設置し、外部の脅威から内部を守ることであり、OTに限らず、ITでも一般的に行われているセキュリティ対策の定番です。しかしながら近年、こうした対策の限界が指摘されています。理由は、「境界の内側は安全である」ことを前提にしているため、標的型メール攻撃などで一旦内部に侵入されると、そこからの手口に弱い点にあります。
クラウド環境の普及や自宅作業による、リモート接続の増加により、ITでは「ゼロトラストネットワーク」と言われるパラダイムシフトが始まっています。もはや「ネットワークは信頼できない」ことを前提とし、境界防御に頼らずエンドツーエンドで末端の対策を強化する考えが主流となりつつあります。
これはOTの世界にもあてはまります。リモート接続の増加や、本格的なスマートファクトリー時代の到来により、境界防御では守り切れないリスクが増え続けているからです。

軽視できない物理的な初期侵入
OTでは、ITのような標的型メール攻撃による初期侵入は困難です。なぜならOTの監視制御PCでは、メールアプリによるeメールの取扱いなどはないからです。では、一体どのような手口が用いられるのでしょうか?
工場では機械設備のメンテナンス(修繕工事や清掃)が欠かせません。休日になると(週日は出入りしない)多くの業者が出入りします。休日の工場現場へ、工具と一緒に小型のコンピュータ機器(プラグボット)を持ち込むことなど、そう難しくありません。作業者になりすまし、工場ネットワークにこっそりとプラグボットを取り付ける-。「そんなことはあり得ない!」とお思いの方もおられかもしれません。が、果たしてそう言い切れるのでしょうか?省力化が進む工場の従業員数は年々減少し、働き方改革の推進によって休日出勤など稀です。
従業員のいない休日の工場。悪意を持つ攻撃者にとって、そこに特殊工作員によるスパイ大作戦は必要ないのです。

経営リスク-1-04

次回では、こうしたセキュリティリスクが企業の経営にどのようなインパクトを与えるのか。事業継続にフォーカスして説明を進めます。

執筆者

KPMGコンサルティング
顧問 福田 敏博 ※掲載当時

経営リスクで考える工場セキュリティ対策の重要性

関連リンク

工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。

 

お問合せ