「想定工場」のセキュリティ対策を紹介

今回経済産業省が策定を進めているのは、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(案)」と題された文書だ。これまでに各省庁や業界団体から発表されているSCADA(制御システムセキュリティ)や重要インフラセキュリティの関連文書やガイドラインと主旨や目的に共通点も多いが、同ガイドラインからは、今だからこその注意喚起の必要性が感じられる。

工場の制御システム(ICS、OT)など、これまでインターネットに接続されなかった機器やネットワークが、クラウドやIoTが進展することで、PCやスマートフォンのようなサイバー攻撃のリスクに晒されている現状から、製造業、社会インフラ事業者のセキュリティレベルの底上げを図り、標準化や指針・指標の提示による対策支援を進めていくことが、同ガイドラインの目的である。

こう説明すると「よくある業界向けのお役所文書か」と思うかもしれない。だが、同ガイドライン(案)は、工場に特化する形でモデルとなる事業体である「想定工場」を定義したうえで必要な対策の考え方、実施方法などをまとめている。現在、草案に対する意見募集を行っており今後変更の余地があるため、細かい内容を解説することはできないが、実践的なものを目指している。

工場セキュリティガイドラインの主旨と概要

同ガイドラインでは、工場における重要ミッションとして、事業とその継続性、安全確保、品質確保、遅延防止、コストの5つを掲げ、仮想的な電子機器メーカーの「想定工場」のシステムを対象とした対策を、次の3ステップで考えていくスタイルをとっている。

  • ステップ1:情報収集・整理
  • ステップ2:セキュリティ対策の立案
  • ステップ3:セキュリティ対策の実行・管理体制の構築

また、想定システムは以下の6つのゾーンにわけて、それぞれのネットワーク、サーバー、ラインなど工場コンポーネント・システムごとにリスクや課題、対策を考えていくかなり実践的な内容を目指している。

  • OAゾーン(業務サーバー・PC)
  • 生産管理ゾーン(MESサーバー)
  • 生産状況監視ゾーン(SCADA)
  • 制御ゾーン(工場ライン・保守端末等)
  • 自動搬送ゾーン(AGV・無線通信)
  • 自動倉庫ゾーン(※自動倉庫は、インターネットVPNを経由してリモートメンテナンス・運用を行う前提で外部との接点も持っている)
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(案)第1版(P22:図3-3)
ガイドラインの想定工場
工場セキュリティガイドライン(案)について(経済産業省)より

想定システムは、かなり大規模な工場でスマート工場としての機能も持っていることになるが、自社に適用できないゾーンは利用者側が適宜取捨選択すればよい。そもそも、セキュリティ対策は、組織やシステムごとに実際の施策や対策は異なるものだ。ガイドラインや基準ドキュメントは、ベースとなる共通項や具体的な対策に落とし込むための指針や考え方を示す。

自分の工場や組織に、すぐに適用できるセキュリティポリシーや対策基準が書かれているわけではないが、これらを自分の工場に合ったもので作るための情報は書かれている。なにもわからない状況でも、なにを考えて、なにを決めればよいかはわかるはずだ。

実際の工場が置かれている状況

では、このガイドラインを活用すべき現実の工場の状況を見てみよう。国内製造業でもIoTアプリケーションが導入されつつある。ラインのカメラやセンサーを内部ネットワークまたはインターネットに接続し、稼働状況の把握や品質検査、トラブルの監視、予兆検知などを行う工場が増えている。AGV(無人搬送車)やロボットを導入して自動化や作業の効率化を図る工場もある。

RFIDやQRコードなどで製造部品やコンポーネントをトラッキングし、品質管理にも役立てることは一般的に行われている。工場敷地内にローカル5Gを敷設してより高度な自動化、スマート生産管理、ビッグデータ処理を行う取り組みも現れている。これらは、直接または間接的にインターネットとも接続される。これは、サイバー攻撃など一般のITシステムと同様のセキュリティリスクを抱えることを意味する。

特に注意が必要なのはランサムウェアによる攻撃だ。製造業や工場に限らず世界的な問題になっているが、問題なのはたとえ1台のPC・サーバーの感染であっても影響範囲が大きくなりがちなことだ。

各国の主な工場ランサムウェア被害事例(筆者作成)

製造業の多くは、大きなサプライチェーンの一部に組み込まれている。特に自動車製造のように、在庫を極小化するジャストインタイムや綿密な生産管理システムへの依存度が高い場合、歯車ひとつの生産が止まっただけでも、完成車の製造ラインすべてが止まることがある。2022年の小島プレス工業の事例は、業務システムの停止により、車の内装用プラスチック部品の出荷(製造ラインが止まったわけではない)が1日止まっただけで、トヨタ・ダイハツ・日野自動車などグループ企業の一部車両まで生産が止まっている。

有事の特殊事情に惑わされない対策を

製造業・工場のサイバーセキュリティでは、米中貿易摩擦やロシアによるウクライナ侵攻による国家支援型のサイバー攻撃が取り沙汰されるが、この見解には冷静に対処する必要がある。地政学的な要因による国や軍が関与するサイバー攻撃は、企業、組織によって想定すべきことだが、この認識だけが先行すると「うちは重要インフラでもないし、政府機関との取引もないので関係ない」という間違いを犯す。

2020年のColonial Pipelineの事例は、北米のエネルギー供給を狙った国家支援型の攻撃とする報道や分析もあるが、一般にランサムウェアによる攻撃は犯罪組織や金銭目当てのハッカーによるもので、国家支援型の攻撃や軍事作戦で利用されることはない(軍事作戦を隠ぺいするためマルウェアにダミーのランサムウェアコードが仕込まれていた事例はある)。

有事にサイバー攻撃が増えるのは事実だが、多くはそれに便乗した詐欺メールや詐欺サイトである。製造業やサプライチェーンへのランサムウェアの攻撃が増えているのは2017年前後からで、中露の動きとは直接の関係はない。工場へのランサムウェアが増えているのは、サプライチェーンへの影響が大きく身代金などの要求に応じやすい(応じざるを得ない)傾向があるため、攻撃者側の注目度が高いことが主因と考えられる。

したがって、製造業や工場が現在備えるべきは、ランサムウェアを含む日ごろのセキュリティ対策である。有事への特別な装備や対策ではない。冒頭のガイドラインで検討されている基本的なセキュリティの考え方、リスクの洗い出し、対策の見直しである。

これは、とりもなおさずISMAP、ISMS、NIST SP-800のようなセキュリティ標準が散々唱えている対策やプロセスを実施することに他ならない。冒頭紹介した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(案)」は、そうした地に足の着いた対策立案のための指標として期待できる。