更新: 2022/11/24
経産省が工場向けのサイバー・フィジカル・セキュリティ対策ガイドラインを策定!あなたの工場は大丈夫?
記事のタイトルとURLをコピー
2022年11月16日、経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」を策定しました。このガイドラインは、一体どのようなものなのでしょうか?ガイドラインの内容を、分かりやすい言葉で簡単にご説明いたします。
「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」とは?
「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」(以下”ガイドライン”と記載)は、工場のシステムに対してセキュリティを対策する際に、手順や考え方の参考とする”手引き書”です。
どうしてガイドラインが出来たのか?
今までの工場のシステムは社内や工場内で完結する、いわば”外に繋がっていないネットワーク”でした。外に繋がっていないのなら、サイバー攻撃に対する対策も最低限で十分です。
しかし、近年はネットに繋がる機器(所謂”IoT機器”)がどんどん生まれ、工場などにも採用されています。そのため、工場のシステムも”外と繋がるネットワーク”になりつつあるのです。
ですが、外、すなわちインターネットと繋がるということは、サイバー攻撃や不正侵入の対象にもなりえます。そこで、策定されたのがこのガイドラインです。
誰が見るものなの?
本ガイドラインには、実際にセキュリテイの対策を行う為の手引きや考え方が掲載されています。
そのため、工場の経営者様などの決定権をお持ちの責任者様や、セキュリティ担当者、システム担当者様などの直接工場のシステムに携わる方は、自社のセキュリティ対策を行う際に参照することをおすすめします。
どんなことが書いてあるの?
社内でセキュリティ対策を行う際にどうすれば良いか、どういう考え方や手順で進めるのか、といった内容が具体的に記載されています。
本ガイドラインに掲載されている主な内容は、下記の10点となります。
- どのような流れでセキュリティ対策を進めれば良いか
- セキュリティ対策にはどのような種類があるか
- 工場におけるセキュリティ環境とはどのようなものなのか
- セキュリティを考える上で考慮するべき要件
- セキュリティの管理方法
- セキュリティ対策の優先順位の考え方
- 関連する業界標準・国際標準規格
- セキュリティ対策チェックリスト
- 製品調達の仕様書テンプレート
- 用語や略語の説明
「セキュリティ対策企画・導入の進め方」を簡単に紹介!どんなことをすれば良い?
本ガイドラインに記載されている内容のうち、メインとなる「セキュリティ対策企画・導入の進め方」の内容を簡単にご紹介します。詳細な内容は、下記のリンクよりガイドライン本文をご確認下さい。
経済産業省ウェブサイト”工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0“
どのような流れで対策をするのか?
工場におけるセキュリティ対策は、”継続的”かつ”妥当なコスト”で進めることが重要。
そのためにも、事業環境や技術動向の変化などに応じて、下記のステップ1から3のサイクルを回し続け、常に改善を行っていくことが大事です。
ステップ1. 内外要件や業務、保護対象等の整理
まず始めに、現在の社内のセキュリティ状況の確認と、取引先や業界、国などからの要求や法規制などの外部要件を整理します。分かりやすいところでは、法律の「個人情報保護法」でしょう。取引先や顧客はもちろん、社員の個人情報なども漏洩してしまうと、法令違反となってしまいます。こうした法令や、取引先や業界から要求されるルールや水準を洗い出し、守るべきものを確認します。
次に、実際に日々の業務ではどのようにシステムが使われているのかを確認します。各部門の業務を全て洗い出し、「ここが止まったら生産がその日のうちにストップしてしまう!」「ここは止まっても生産には影響しないな」、という形で、対策するための優先順位をつけていきます。
業務の優先順位をつけたら、次は機器。「この機器が止まると生産が止まる!」など、業務と同じように守るべき機器とそうでない機器とで優先順位をつけていきます。
最後に、「ゾーン」という区切りを作って、今まで洗い出してきた「守るべきもの」をまとめていきます。「ゾーン」というのは業務や生産の区分けのようなもので、例えば「生産現場ゾーン」、「自動搬送ゾーン」、「自動倉庫ゾーン」などです。システム全体を一括で対策してしまうと、どこかが突破されてしまえば全体に影響を及ぼしてしまいます。しかし、それぞれのゾーンごとに同程度の対策を行っていくことで、「”生産現場ゾーン”に攻撃が来たけど、”自動搬送ゾーン”は大丈夫だった」というように、ゾーン単位で被害を抑えることができます。
ステップ2. セキュリティ対策の立案
ステップ1で洗い出した「守るべきもの」に基づいて、セキュリティの対策を策定していきます。
対策は大きく“システム”と“物理面”の2つに分類し、それぞれの考えられる驚異に対して「守るべきもの」はどうすれば守れるのか?という考えで、対策を立案していきます。
ステップ3. セキュリティ対策の実行、及び計画・対策・運用体制の不断の見直し(PDCA サイクルの実施)
最後に、ステップ2で立案した対策を実行した上で、“ライフサイクルでの対策”、“サプライチェーン対策”の2つを行っていきます。
ライフサイクルでの対策
“ライフサイクルでの対策”を簡単に言い換えるなら、“運用していく上で必要な改善や対策”です。
これまでは”業務や機器を守るための対策”を考えてきましたが、ここでは”セキュリティを維持し続けるための対策”を考えていきます。
大きく分けて、”運用・管理面のセキュリティ対策”と”維持・改善面のセキュリティ対策”の2つについて、対策を行っていきます。
運用・管理面のセキュリティ対策
サイバー攻撃などでシステムに異常が発生した際にアラート(通知)を送ったり、計測した値から異常に気づけるような監視体制の仕組みづくりを行うことが大事です。
また、“セキュリティを運用する人や物”の管理も大事。それぞれの管理対象に対して運用ルールを設けるとともに、従業員への意識付けや教育も行う必要があります。
最後に、サイバー攻撃に関する最新情報を常に仕入れることも重要です。どれだけ正しい対策が行えたとしても、それが10年前の情報に基づいていたら意味はありませんよね。そのため、業界団体や独立行政法人情報処理推進機構(IPA)などから定期的に最新情報を得て、対策も新しくしていく必要があります。
維持・改善面のセキュリティ対策
セキュリティは日々進化していますが、サイバー攻撃も残念なことに日々進化しています。一度セキュリティシステムを構築したとしても、整備をせずにそのまま運用してしまっては意味がありません。
そのため、システムのセキュリティ担当の従業員はもちろん、システムを使う従業員全体にサイバー攻撃についての脅威やルールを周知し、定期的に教育を行っていくことが重要です。
サプライチェーン対策
サプライチェーンとは、”原材料や部品の調達”から”販売”までの、製品が顧客の手元に渡るまでの一連の流れのこと。製品ができあがるまでには、部品メーカーや配送業者、販売店など様々な業者様とやり取りをしますよね。もし、そのサプライチェーンの中のどこかがサイバー攻撃の被害に遭ってしまうと、やり取りをしている他の業者様にも被害が及ぶ可能性があります。
日本では特に、このサプライチェーンを狙ったサイバー攻撃が多く、『独立行政法人情報処理推進機構(IPA)』による『情報セキュリティ10大脅威 2022』では、”サプライチェーンの弱点を悪用した攻撃”が3位にランクインしています。
こうした被害を防ぐため、取引先や調達先にはセキュリティに対してどのような取り組みを行っているのかを確認し、必要に応じて対策を行うことが”サプライチェーン対策”です。
最後に
いかがでしたか?近年のIT化に伴い、工場においてもセキュリティの導入が本格的に必要となってきています。
特に中小企業様など、社内にセキュリティ担当の従業員が居ない企業様などは「セキュリティの対策をしたくても、具体的な手順が分からない!」というケースもあるかと存じます。
そうした際には、是非こちらのガイドラインを参考にしてみて下さい。
また、弊社の総合セキュリティサービス「アイ・セキュア」では、中小企業様、個人事業主様のサイバーセキュリティをトータルでサポートしております。現状調査から機器の選定・調達、設置工事や設置後の保守まで、全部丸ごと弊社にお任せいただけます。
茨城県内の事業者様であれば、現状調査からお打ち合わせ、プランニングまで全て無料ですので、セキュリティでお悩みの方はこちらのお問い合わせフォームよりお気軽にご相談下さいませ。
出典・関連リンク
内容について:経済産業省ウェブサイト”工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0“の内容を元に、弊社が加工して作成しております。
出典1:経済産業省ウェブサイト”「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」を策定しました“
出典2:Freepik”Factory concept illustration“