1. ホーム > 
  2. セキュリティ > 
  3. ネットワークセキュリティを強化する iNetSec > 
  4. blog23001
ここから本文です

2022年11月、経済産業省が策定!
「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」のポイントを解説


従来の工場内の制御系ネットワークは、インターネットに接続しない閉じた環境が前提で設計されていました。しかし工場のデジタル化・IoT化が進んだことで、ネットワークの接続機会が増え、セキュリティリスクが高まっています。
サイバー攻撃による被害が国内でも多発していることから、経済産業省は工場システムのセキュリティ対策を策定する際のガイドラインを発表しました。本記事ではガイドラインのポイントを解説します。


目次

  1. 工場セキュリティガイドライン策定の背景
  2. 工場セキュリティガイドラインとは
  3. 工場セキュリティ対策の3ステップ
  4. 工場セキュリティガイドラインの最初の難関が「ネットワーク・機器の洗い出し/構成図の整理」
  5. 工場のネットワークと機器を洗い出し、模式図を自動で作成する「自動化ツール」とは?


工場セキュリティガイドライン策定の背景

工場ではDXが進み、新たな付加価値が生まれる一方で、工場のネットワークをインターネットに接続する必要性や機会が増え、セキュリティリスクが高まりました。またサイバー攻撃が高度化・巧妙化し、標的企業を狙う踏み台として比較的規模の小さい企業を攻撃するサプライチェーン攻撃が増加しています。このような状況を踏まえて経済産業省は2022年11月に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0(*)」(以下、工場セキュリティガイドライン)を公開しました。
工場セキュリティガイドラインを策定した背景には、工場へのサイバー攻撃により大きな損害につながる事件が増加したことがあります。その中でも「ランサムウェア(身代金要求型ウイルス)」は多数の工場やプラントに被害を与えています。
例えば国内の自動車会社部品メーカーが攻撃を受けた事例は記憶に新しいところです。子会社が設置したリモート接続機器の脆弱性を狙われ、サーバーやPCの一部がデータ暗号化されました。その結果システムを停止せざるを得なくなり、取引先への部品供給が出来なくなった影響で、取引先も一時生産停止に追い込まれました。
もうひとつの背景は、どのような工場でもサイバー攻撃を受ける可能性を認識する必要性が出てきたことです。かつてサイバー攻撃は大企業を標的にしているとされていましたが、自動車部品メーカーの事例のように取引先やグループ会社を踏み台にして標的の企業を攻撃する「サプライチェーン攻撃」も発生しており、サプライチェーン全体での対策が求められています。


(*) 関連ページ   工場システムにおけるサーバー・フィジカル・セキュリティ対策ガイドライン



工場セキュリティガイドラインとは

工場セキュリティガイドラインは、具体的なセキュリティ対策を立案・実行するための「手引き」に位置付けられています。企業ごとに工場の規模や環境も異なる中で、必要とされるセキュリティ対策は画一的ではありません。そのため工場セキュリティガイドラインでは必要最小限の運用・対策について3ステップで進められるように構成されています。各企業が業界・業種・自社に応じたガイドラインを作成し、工場へのセキュリティ対策を進めるという具体的な行動に移すことが期待されています。
セキュリティ対策は外部環境や自社の状況に合わせて継続的に見直しを行い、現実的なコストで実行しなければなりません。そのため各ステップを継続的に見直しながら実行し、サイクルを回していく必要があります。
工場セキュリティガイドラインは、ITシステム部門、生産関係部門だけでなく、経営企画等の戦略マネジメント部門や監査部門も広く対象としています。部門ごとの価値観の違いを認識しながら、セキュリティ対策を実施することが重要だということがガイドラインでも強調されています。
内容は実務層向けですが、セキュリティの考え方が経営層に浸透していないと考えられる場合は、担当者が経営層とコミュニケーションを取り、セキュリティ対策をトップダウンで進めていくことが求められています。



工場セキュリティ対策の3ステップ

セキュリティ対策を実行するための3ステップについてポイントを見ていきましょう。


ステップ1:内外要件(経営層の取組や法令等)や業務、保護対象等の整理

最初にやるべきこととしてガイドラインに挙げられたのが、セキュリティ対策に関連する経営目標と工場の状況を情報収集・整理して現状を把握することです。工場の状況についての情報収集というと保護対象となる機器に目が行きがちですが、工場セキュリティガイドラインでは、機器だけではなく業務・ゾーンの整理や、ゾーンと業務、機器の結びつけについても必要な作業として定義しています。
ステップ1はさらに7つのステップに分かれており、それぞれの概要は次の通りです。


ステップ1-1 セキュリティ対策検討・企画に必要な要件の整理

ここでは、セキュリティ対策を進めるにあたって必要となる要件を整理します。要件は大きく分けて3つあります。

  • (1)経営目標の整理

    自社の工場システムのセキュリティ対策に関連する経営目標を確認します。経営目標は大きく分けて「事業成長」と「事業継続」の2つです。事業成長の具体例としては「スマートファクトリーに向けた新たなシステムの構築」「自動倉庫の導入」といったものがあります。事業継続の観点からは事業継続計画(BCP)の内容を確認することが重要なポイントです。策定されていない場合は、必要に応じて担当部署と策定の検討を実施します。

  • (2)外部要求事項(社会的セキュリティ要件)の考慮

    セキュリティ法規制、標準規格、ガイドライン、取引先等からの要求を整理します。

  • (3)内部要件/状況の把握

    システム面、運用・管理面、維持・改善面といった自社の工場セキュリティに関わる内部要件と状況について整理します。


ステップ1-2 業務の整理

工場システムが使われている日々の業務を洗い出します。例としては生産計画の策定、生産活動、生産状況の監視等があります。


ステップ1-3 業務の重要度の設定

洗い出した業務ついて、それぞれの業務の重要度を設定します。


ステップ1-4 保護対象の整理

工場システムの構成要素を洗い出し、システム構成図の模式図を整理します。工場システムの構成要素には、ネットワーク、装置・機器、機能・プログラム、データがあります。


ステップ1-5 保護対象の重要度の設定

業務の重要性の視点から、洗い出した保護対象について重要度を設定します。


ステップ1-6 ゾーンの整理、ゾーンと業務・保護対象の結びつけ

ゾーンとは「OAゾーン」「生産管理ゾーン」「制御ゾーン(生産現場)」のように業務内容や業務の重要度を踏まえて設定したものです。ゾーンを規定することでゾーンごとの対策の優先度を決めることができます。またゾーンを分けることで、ネットワークセグメントを分ける意識付けにもつながります。こうした取り組みによりサイバー攻撃を受けた際に、別のゾーンへの影響を及ぶことを抑止、被害の局所化することの検討が可能になります。


ステップ1-7 ゾーンとセキュリティ脅威の影響の整理

最新の脅威を認識し、それぞれのゾーンに対するセキュリティ脅威と影響を整理します。例えば「制御ゾーンでは生産業務を行っているため、不正侵入の脅威があり、実際に脅威を受けた時は生産停止になるため重要度が高い」といったことを決めておく必要があります。


ステップ2:セキュリティ対策の立案

ステップ1で整理した情報に基づき、工場のセキュリティ対策の全体方針を策定します。ガイドラインではステップ2をさらに2つのステップに分けています。


ステップ2-1 全体方針の策定

ステップ1で整理したゾーンとこれに紐づく業務・保護対象、想定脅威に対して、業界や自社の置かれた環境に応じて、重要度・優先度を設定します。ひとつの進め方として考えられるのは、ゾーンごとに業務の重要度と想定脅威のレベルを設定し、業務の重要度が高く、かつ想定脅威のレベルが高いものからセキュリティ対策を策定・実行していくことです。


ステップ2-2 想定脅威に対するセキュリティ対策の対応づけ

これまでに整理したゾーン・保護対象・業務・脅威・影響とセキュリティ対策を対応づけます。ここではサイバー攻撃からの防御というシステム面だけでなく、施錠管理や入退室管理など物理面での対策も検討が必要です。


ステップ3:セキュリティ対策の実行、及び計画・対策・運用体制の不断の見直し

セキュリティ対策を実行するとともに、日々対策を改善できる体制を整えていくのがステップ3です。例えばランサムウェアの場合、以前はシステムを暗号化するタイプが主流でしたが、最近では情報を流出させるタイプに進化しています。攻撃手法は日々進化しているため、それに対応し続ける体制が求められます。工場セキュリティガイドラインでは日々の対策を実施するとともに、サイバー攻撃の認識と対処の一連の取り組みを整理し、問題・被害の発生を想定して予め役割・体制や手順を整備しておくことが重要であると記載されています。
ステップ3では、日々の対策として「サイバー攻撃の早期認識と対処」「セキュリティ対策管理(ID/パスワード管理、機器設定変更など)」「情報共有」が挙げられています。そして日々の対策を実行して終わりではなく、実施状況を確認して必要に応じてセキュリティ対策を見直し、更新していくことも重要事項として記載されています。
またサプライチェーン全体の対策として「必要に応じて取引先や調達先に対するセキュリティ対策の要請や対策状況の確認を行うことが望ましい」と記載されています。



工場セキュリティガイドラインの最初の難関が「ネットワーク・機器の洗い出し/構成図の整理」

工場セキュリティガイドラインに沿って実行していく上で確実に実行しておきたいのがステップ1です。常に現状を把握できていれば、サイクルを回していくことでセキュリティ強度を徐々に向上させることができます。

しかし現状把握は簡単なことではありません。最初の難関となるのがステップ1-4「保護対象の整理」です。保護対象となるのは、機器だけでなく、機器がどこに、どうつながっているかも含まれます。そして一度洗い出しをして終わりではなく、常に最新情報を把握し続けることも重要な対策のひとつです。現状を把握し「続ける」ことで、常に適切な対策の立案・実行することが可能になります。一時の現状把握だけでなく、常に最新の状態を把握するための運用体制が求められます。
しかし機器一覧や模式図の作成を手作業で行うのは、現実的ではありません。複雑なネットワーク構成が多い工場では、模式図の整理に時間がかかります。また工場の場合、ライン変更やレイアウト変更によってネットワーク環境が大きく変わるため、最新の状況を継続して把握するのも難しくなるでしょう。
そこで注目されているのが、保護対象の整理を自動化するツールの導入です。ネットワークに接続されている機器の情報を収集し、機器のリストやネットワーク構成図を自動で作成するツールがあれば、運用の負担をかけることなくステップ1-4で求められる保護対象の整理と最新状況の把握が可能になります。
さらに自動化ツールがあれば、ネットワーク構成が可視化されるため、サイバー攻撃を検知するツールと組み合わせて、影響範囲の特定の支援が可能です。ステップ1-6で求められる「ゾーンの整理、ゾーンと業務・保護対象の結びつけ」についても速やかに判断できることになります。



工場のネットワークと機器を洗い出し、模式図を自動で作成する「自動化ツール」とは?

自動化ツールにはネットワーク管理製品をはじめとした多種多様なツールがありますが、手軽に導入・管理できるツールとして「iNetSec FC」をご紹介したいと思います。
iNetSec FCは、自動で機器とネットワーク構成を見える化し、レイアウトが変更されても常に最新状態を把握できます。工場セキュリティガイドラインの「ステップ1-4 保護対象の整理」「ステップ1-6 ゾーンの整理」について労力をかけることなくすぐに実施できるのが大きなメリットです。
ITシステム向けの管理製品の場合は、管理製品からパケットを発信することがあり、生産設備に影響を与えるリスクがあります。その点、iNetSec FCでは生産設備に一切パケットを発信しない「パッシブ検知方式」を採用しており、稼働停止が許されない生産現場でも安心して利用できます。
iNetSec FCはセキュリティを強化する取り組みをサポートし、生産現場の要となるネットワーク・生産ラインを守ります。


【導入事例】
工場内の機器情報を収集して最新情報を自動で「見える化」!1400台以上の機器をリアルタイムで管理!

積水化学工業株式会社 滋賀水口工場
【導入事例】
iNetSec FCの導入により、 工場で増え続ける機器や生産設備を、よりカンタンに、より確実に管理

PFUテクノワイズ株式会社
前の記事へ