工場DXの進展に伴い求められるセキュリティ意識の変革

近年、工場ではDXへの取り組みが進んでいる。具体的には、需要と供給のバランスを管理しながら生産するためのデジタル化、品質確保のためのデータ解析、労働力減少を補うための自動化、匠の技術を継承するためのデータ共有などが挙げられる。製造業において発生する課題解決や競争力強化を目的にこれらの改革が進む一方で、意識しなければならないのが環境の変化に伴うサイバーリスクだ。

DX推進に伴うサイバーリスク

 DX推進に伴い、これまでクローズドだった工場環境がさまざまなものとつながることで、脅威の侵入口も増加している。具体的にどこから侵入してくるのか、主なものを説明する(図1)。

①ネットワーク経由
・本社や支社などOA環境経由で侵入
・リモート監視端末から侵入
・リモート接続VPN※1機器の脆弱性を突いて侵入

②デバイスやPC経由
・メンテナンス用USBメモリーなどのデバイス経由で侵入
・メンテナンス用PC経由で侵入

③サプライチェーン
・サプライチェーンとの間に敷設したネットワーク経由で侵入

④従業員の過失
・未許可で設置したWi-Fiルーターなどから侵入

 これらのリスクにどのように対処するか検討するに当たり、まずはOA環境と工場環境の違いを知っておいてほしい。

図1:さまざまな経路からの脅威の侵入例

セキュリティに対する考え方の違い

 OA環境と工場環境では守るべきものが違っており、OA環境では情報、工場では生産する製品や生産設備の稼働がその対象となる。そのため、重視するセキュリティ特性の順も両環境で異なる。OA環境では機密性>完全性>可用性のように機密性の優先度が高くなり、工場では可用性>完全性>機密性のように、可用性が重要視される。また、OA環境は情報システム部門、工場は技術部門(生産管理部、生産技術部など)のように管掌部門も異なるだろう。

 それから、セキュリティインシデント発生時の対応にも違いがある。例えばOA環境がマルウェアに感染した場合、即座にPCをネットワーク隔離したり、ネットワーク全体を停止したりすることで一次対処する。工場の場合は、製造中の製品への影響やサプライチェーンへの影響など考慮すると簡単に生産設備を停止するわけにはいかない。ほかに、工場ならではの課題として、接続されている機器がどれだけあるのか把握できていなかったり、機器の耐用年数が10〜20年、それ以上と極端に長かったりすることがある。

工場環境におけるセキュリティ対策

 では、工場環境にはどのような対策が必要なのだろうか。考える際のポイントを三つ挙げる。

・可用性を重視した対策
・接続されている機器の把握と古い機器への対応
・生産設備に影響を与えない導入

 これらを踏まえた上で、代表的なセキュリティ対策を説明する(図2)。個々の詳細説明は次号以降に回すとして、ここでは簡単に触れておきたい。

(a)不正侵入防御
OAネットワークと工場ネットワーク間およびリモート監視環境にUTM※2を設置しサイバー攻撃やマルウェアの侵入を防御

(b)資産の可視化
DPI※3機能を持った機器をネットワークスイッチ(主にL3スイッチ)のミラーポートに設置し、通信パケットを分析して接続されている機器を洗い出し可視化

(c)不正侵入検知

(b)と同じく通信パケットを分析して、通常とは異なる通信内容、通信先、通信量、通信時間などの情報を基に不審な通信を検知

(d)内部拡散防止
UTMやネットワークスイッチを、生産ラインや設備ごとに設置し、サイバー攻撃による探索行為やマルウェアの拡散を防止

(e)マルウェア対策
PC・タブレットへのマルウェア対策ソフトウェアの導入や、マルウェア対策機能を持つPLC※4やCNC※5などの制御装置の導入

(f)不正接続防止
持ち込みPCなど、許可されていない機器の工場ネットワークへの接続や、それらの機器へのUSBメモリーなどの接続を制限

 以上が代表的なセキュリティ対策である。

図2:工場におけるセキュリティ対策

対策の推進体制とプロセス

 セキュリティ対策の導入に当たり、まずは、工場ネットワークがどのような構成になっているかを把握することが必要だ。既存の資料やネットワーク機器の定義ファイル、管理者の記憶などを合わせて論理構成図を作り上げた上で、どこが脅威の侵入経路になるのかなどセキュリティリスクを洗い出す。最終的に、対策順序を整理して優先すべき対策から導入していく。

 外部の専門家を活用するのも良いだろう。ただし、専門家に頼るだけでは、予算確保や計画推進、保全ができないため、情報システム部門や技術部門(生産管理部、生産技術部など)が協力して体制を作り、コミュニケーションを取りながら推進していくことも重要だ。

※1 Virtual Private Network:安全にデータをやりとりするためにインターネット上に構築する仮想的な専用網。
※2 Unified Threat Management:複数の異なるセキュリティ機能を一つのハードウェアに統合し、統合脅威管理を行う。
※3 Deep Packet Inspection:ネットワークを流れるデータの分析を行う。
※4 Programmable Logic Controller:工場などにおける機械の動きを制御する。
※5 Computer Numerical Control:機械による加工作業をコンピューターで制御する。
※6 Human Machine Interface:人間と機械の間で情報をやりとりするための仕組み。