管理視点で考える工場セキュリティの勘どころとして、第1回では工場管理で重要となる、品質マネジメント、環境マネジメント、そしてセキュリティマネジメントの位置付けについて解説しました。
続く第2回では、品質マネジメントとOTセキュリティマネジメントを比較し、セキュリティ管理の視点について深掘りします。

工場セキュリティの勘どころ-2-図1

セキュリティリスクはどこにある?

一般的なセキュリティリスクアセスメントでは、「資産ベース」による実施が少なくありません。資産ベースとは、PCやサーバ、ネットワーク機器、アプリケーションソフトなどを資産台帳にまとめ、個々の資産を対象に脅威・脆弱性・重要度を評価します。これは、そもそもセキュリティマネジメントの目的が、重要な資産をセキュリティリスクから守るための管理であり、直接的なアプローチになるからです。

産業制御システム等を対象にしたセキュリティマネジメントシステムの国際標準であるIEC 62443-2-1(Edition 1.0)においても、要求事項の規定(本文)が始まる第4章の冒頭(4.1 概要)で、「IACSをサイバー攻撃から保護するために…」との記述があることから、保護の対象はIACS(Industrial Automation and Control System:産業用オートメーション及び制御システム)の資産だと解釈できます。

工場セキュリティの勘どころ-2-図2

そうすると、セキュリティ管理の視点は、資産を管理するシステム管理者(エンジニア)の業務を中心に考えてしまいがちです。資産の利用部門では、セキュリティ管理は他人事になってしまいます。工場の産業制御システム等を管理するエンジニアが、セキュリティ管理の中心的な役割を担うのは確かです。ただ、工場に潜むセキュリティリスクに思わぬ盲点がないよう、セキュリティ管理を適切に行うためには、資産の利用部門の協力が欠かせません。資産を利用するなかで想定されるリスクについては、利用部門だからこそわかる点が多いからです。

では、どのような視点で管理を行えばいいのでしょうか?そのヒントは、工場の重要な管理の1つである、品質マネジメントにあります。

品質はプロセスアプローチ

品質マネジメントの管理対象は、工場では生産する「製品」そのものです。品質マネジメントシステムの国際規格であるISO 9001においても、序文(0.1 一般)のなかで、「この規格で規定する品質マネジメントシステムの要求事項は、製品及びサービスに関する要求事項を補完するものである。」との記述があります。さらに、要求事項の規定(本文)が始まる第4章からは、「製品及びサービス」の言葉が繰り返し出てきます。

そして、管理の視点としては、工場では製品を生産する活動(プロセス)が中心になります。製品の企画から設計・開発、購買、製造、保管、出荷、アフターフォローなど、製品のライフサイクルにわたるプロセスが広く含まれるのです。製品に悪影響を及ぼす品質上のリスクについて、プロセス面から考えることになります。
現在、国際規格であるISOのマネジメントシステムは、章構成が共通化されています。たとえば、ISO 9001とISO/IEC 27001(情報セキュリティマネジメントシステム)では、基本的な要求事項の項目は同じです。ただ、大きく異なるのが、8章の「運用」。8.1の「運用の計画及び管理」のタイトルだけは同じですが、それ以外は全くの別物です。ISO 9001では、ここにプロセス視点で多くの要求事項が展開されるため、いろいろな部門の業務への関わりがイメージしやすいのです。

工場セキュリティの勘どころ-2-図3

こうなると、品質マネジメントは工場の生産にかかわるすべてが自分事になり、セキュリティ管理ももちろん含まれます。たとえば、サイバー攻撃で製品に熱処理を加える温度制御システムに異常が生じれば、決められた品質レベルが担保できません。

リスクをプロセスで考えると

セキュリティリスクアセスメントの手法には、プロセスベースというアプローチがあります。業務の流れやシステムの機能面などから、リスクシナリオを想定するものです。資産ベースと比べて、アセスメントの実施に時間・工数がかかるため、何かと敬遠されがちです。しかし、資産の利用部門も加わり、全員参加型でリスクを想定しやすいのではないでしょうか。
また、2021年8月に発行された国際規格として、ISO/SAE 21434:2021(自動車-サイバーセキュリティエンジニアリング)があります。ISOに続くSAEとは、Society of Automotive Engineersというモビリティの専門家を会員とする米国の非営利団体のことです。
自動車のサイバーセキュリティ法規である「UNR155」の適用により、今後自動車の型式認証のなかで、事業者に対するサイバーセキュリティマネジメントシステム(CSMS : Cyber Security Management System)の構築が求められています。ISO/SAE 21434は、自動車の電気/電子システムのコンセプト、製品開発、生産、運用、保守、及び廃棄に関するサイバーセキュリティリスク管理のエンジニアリング要求を規定しており、組織がCSMSを構築する際のガイドラインの1つになるのです。

工場セキュリティの勘どころ-2-図4

ISO/SAE 21434は、製品のライフサイクルにおけるプロセス面から、セキュリティリスクを管理する活動を求めています。このような考えを参考にすることで、OTセキュリティマネジメントが工場管理の1つとして、より工場の運用に密着した取組みへと変わり、企業に浸透していくのではないでしょうか。

続く第3回では、OTセキュリティマネジメントの意義について、考察を進めます。

執筆者

KPMGコンサルティング
顧問 福田 敏博 ※掲載当時

管理視点で考える工場セキュリティの勘どころ

関連リンク

工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。

 

お問合せ