日本の製造業の間で、スマートファクトリーへの取組みが注目を集めています。その一方、工場のスマート化に伴いサイバー攻撃への懸念は増大しており、企業のセキュリティ対策への備えは「待ったなし」であると言えます。
製造業のサイバーセキュリティを専門とする、KPMGコンサルティング 顧問の福田 敏博(掲載当時)とシニアマネジャーの保坂 範和が、スマートファクトリー化で必要となるセキュリティ対策について幅広く議論しました。

スマートファクトリー化の現状

福田:2016年の世界経済フォーラム(通称、ダボス会議)で「第4次産業革命」が主要なテーマに取り上げられて以降、欧米諸国において、少し遅れてアジアでも第4次産業革命を意識した国家戦略や関連の取組みが進み、工場のスマート化に向けて大きく前進しました。日本では、第5期科学技術基本計画の中で「Society5.0」を提唱しています。サイバーとフィジカルの空間を融合することで付加価値を創造し、ひいては経済発展と社会的課題の解決の両立を目指すというものです。
特に製造業では、サイバーフィジカルシステムを導入したスマートファクトリーが注目されました。現実(フィジカル)の情報を、コンピューターの仮想空間(サイバー)に取り込み、大規模なデータ処理技術を駆使して高度な自動化を目指す工場です。技術的には、IoTやビックデータ、AIなどが活用されますが、こうしたスマートファクトリーへの動きは、国内の企業でどの程度進んでいますか?

福田顧問

KPMGコンサルティング 顧問 福田 敏博(掲載当時)

保坂:スマートファクトリー化に向け、スマート・オートメーション、サプライチェーンの最適化、品質管理といったスキルギャップを埋めるトレーニングを実現すべく、多くの製造現場で高度なテクノロジーが急速に採用されています。経済産業省が定義したスマートファクトリー化の20の目的(品質の安定化、生産リソースの低減、製品の開発・設計の自動化など)を参考にするなど、目的を明確化したうえで、工場におけるデータマネジメントのプロセスに沿ったテクノロジーの導入を検討しています。生産現場のデータを収集するための産業用IoTデバイス/プラットフォーム、データを蓄積するためのクラウドコンピューティング、データを処理するためのビッグデータ分析プラットフォーム/AI(人工知能)/シミュレーション技術/ロボティクス/AR(拡張現実)/3Dプリンタなどのテクノロジーが導入されています。

保坂SM

KPMGコンサルティング シニアマネジャー 保坂 範和

スマートファクトリーに潜むセキュリティリスク

福田:スマートファクトリーによる付加価値の創出は、ビジネスにおける「攻め」の意味合いが強い半面、サイバー空間とフィジカル空間の融合は、サイバー攻撃の脅威を増大することにつながります。車の両輪のごとく、セキュリティ対策による「守り」も合わせて考える必要があります。
2019年発表の経済産業省「サイバー・フィジカル・セキュリティ対策フレームワーク」では、新たなリスクへの対応として「サイバー空間における大量データの流通・連携、サイバー空間からフィジカル空間への直結的な影響、企業間が複雑につながるサプライチェーンの拡大、といった要因を考慮すべき」と提唱されています。スマートファクトリー化によるサイバー攻撃のリスク増大について、具体的にはどういった点に注意が必要でしょうか?

保坂:スマートファクトリー化が進む工場では、さまざまなデバイスをネットワークに接続し、蓄積したデータを分析することでクラウド、AI、ロボットなどの最新テクノロジーを活用しています。従来型の工場と比較して、ERP、SCMなど情報系との通信、クラウド、リモートなど外部との通信・ネットワークの接続が多岐に渡るためサイバー攻撃の標的になりやすく、かつ、さまざまなデバイスがネットワークに接続されるため、被害を受けた場合は工場の操業に直接的なインパクトを与える可能性があります。
多くの企業の経営層は、外部接続の増加に伴うサイバー攻撃のリスクを懸念してはいるものの、「今そこにある危機」としてそのリスクをしっかりと認識できていないのが現状です。サイバーセキュリティを主導するIT部門と生産現場を管理する工場部門でセキュリティ管理が統一できていないことが多く、企業が工場サイバーセキュリティリスクに対応する上での大きな障壁となっています。

今、必要なセキュリティ対策の進め方

福田:なぜセキュリティ対策が必要かというと、当たり前のことですが、その要因となるリスクがあるからです。どのような対策が必要かはリスクの内容次第ですし、リスクが受容できる低いレベルであれば対策は不要かもしれません。ただ、リスクはセキュリティ環境の変化に応じて大きく変わります。スマートファクトリー化の進展に伴い、工場のシステム構成はどんどん変わっていきます。定期的なリスクアセスメントを実施することで新たなリスクを把握し、継続的に対策を改善することが肝要です。改めてセキュリティ対策の原理原則の重要性を実感しています。

保坂:工場にはスマートファクトリー化による最新テクノロジーもあれば、セキュリティ対策が考慮されていない旧来型のレガシー資産も多く混在します。企業がとるべきセキュリティ対策としては、工場におけるサイバーセキュリティリスクを正確に把握することが第一歩です。そして、把握したリスクを経営層へ報告した上で、IT部門と工場部門の両部門が連携することが次のステップとなります。たとえば、工場部門はリスクが現実的になった場合の工場の操業への影響を検討し、IT部門は想定される攻撃シナリオやセキュリティ対策にかかるコストを算出します。両部門が協力し、スマートファクトリー化で不可欠なセキュリティ対策の計画・ロードマップを作成していくことが理想的です。
サイバーセキュリティリスクの把握においては、工場のネットワークやシステム、および機器の資産の棚卸しから始めることになりますが、セキュリティのリソースや知見の不足、工場の数が多くすべてを調査しきれない、海外工場の調査が難しい、などの課題が発生します。これらを解決するための一例として、工場を標準化したモデルを作成してリスク分析する手法が挙げられます。工場の機能/実装モデルをベースにリスクを分析、セキュリティ対策を検討し、標準的なセキュリティポリシーを作成することで、効率的な横展開を進めることができます。
スマートファクトリーのセキュリティ対策は、工場のネットワークアーキテクチャーの再検討など、中・長期的な取組みが不可欠ですが、まずは自社の工場におけるサイバーセキュリティリスクを経営層が認識しているかどうか、身近な自己点検から始めてみることをお勧めします。

福田顧問と保坂SM

左から KPMGコンサルティング 保坂 範和、福田 敏博(掲載当時)

KPMGは、グローバルナレッジと日本の製造業に精通したコンサルタントの知見に基づき、経済産業省が定義したスマートファクトリー化の20の目的(品質の安定化、生産リソースの低減、製品の開発・設計の自動化など)と、最新テクノロジーの活用事例を組み合わせて機能モデルを作成しています。加えて、機能モデルと対になる実装モデル、想定リスク、セキュリティ対策をフレームワークとして構成しています。
このようなフレームワークを駆使して、企業のスマートファクトリー化の目的と導入技術から保護すべき範囲を特定し、想定され得るセキュリティ脅威のリスク分析とリスク低減のための対策検討を支援しています。

関連リンク

工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。

お問合せ