経産省が策定した工場セキュリティガイドラインを解説

調査から明らかになった工場セキュリティの実態

ICS（Industrial Control System）やOT（Operational Technology）といったシステムが稼働する工場システムは、従来インターネットに直接接続されないことを前提に設計されてきました。しかし、DXやスマートファクトリーの流れを受け、IoT化やデータの利活用が進んだことで、インターネットに繋がることも増えてきました。これにより、新たなセキュリティリスクを検討せざるを得ない状況になっています。このような状況を踏まえ、経済産業省が2022年11月16日に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン（以下、工場セキュリティガイドライン）」を策定しました。
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン

工場セキュリティガイドラインの概要をお伝えする前に、工場システムのセキュリティの実態を理解いただくために、トレンドマイクロが2022年に実施したICS/OT環境のサイバーセキュリティ対策の意思決定者を対象にしたインターネット調査^※1の結果を解説します。
※1：アンケート調査全体では、米国、ドイツ、日本、各300名、製造・電力・石油・ガス産業の方に回答いただいていますが、以降は日本の製造業（111名）の回答に限定した調査結果をご紹介します。

今回の調査において、過去 12 か月間、サイバー攻撃による ICS/OT システムの運用の中断の回数（図１）を聞いたところ、1年間でシステムの中断^※2を経験していない割合は4.5％のみということがわかりました。中断の回数としては、6～10回が最多で36.9％となっています。年間に6～10回システムが中断しているということは、頻度としては、2ヶ月に1回のペースで中断を余儀なくされています。
※2：システム中断には生産ラインの停止、産業機器を監視するシステムの停止、生産計画管理システムの停止などが挙げられます。

また、ICS/OTシステムの中断が与えた影響（図２）を聞いたところ、大多数の組織で供給計画の変更や、供給の削減を余儀なくされていることがわかっており、サプライチェーンへの影響も出ていることが明らかになっています。

このシステムの中断による売上損失の他、復旧の費用や再発防止策の費用などを合算した金銭的損害は、平均で1億5千万円余りに上っています（図3）。サプライチェーンも含めて、被害の影響が大きくなりやすい製造業は、ランサムウェア攻撃者グループがシステムの復旧と引き換えに身代金を要求してくる可能性もあります。

図2　ICS/OTシステムの中断が与えたサプライチェーンへの影響（図1の設問でシステム中断を経験した人のみに質問）

図3　サイバー攻撃によるシステム中断によって発生した金銭的損害（図1の設問でシステム中断を経験した人のみに質問）

サイバー攻撃の種類についての質問では、クラウドサービスの脆弱性や設定不備を悪用した攻撃がどちらも4割を超えるなど、高い割合を示しています（図4）。記事の冒頭で触れたように、DXやスマートファクトリーが進んだ事により、クラウドサービスの活用も見込まれますが、攻撃の起点になりうることも認識しておかなければなりません。

またICS関連システムの脆弱性発見数も近年は急激に増加しています。図5はアメリカのサイバーセキュリティ・社会基盤安全保障庁（CISA）が運営しているICS-CERTによるアドバイザリの公開数を当社が集計したものです。ICS-CERT アドバイザリは、攻撃者が攻撃に悪用する恐れのあるICS 脆弱性が明らかになった際などに公開されます。このアドバイザリの公開数は近年急増しており、2022年は過去最高の数字となっています。パンデミックを契機に、リモートワークが急速に普及・進展し、かつてないほど大量の資産がインターネットに接続されるようになったことで、今まで外部に露出していなかったICSが外部に露出することになりました。そのため、それまで発見されていなかったICSの脆弱性を容易に発見できるようになりました。これは、セキュリティリサーチャーだけはなく、攻撃者も脆弱性を見つけやすくなっているということを意味します。ICS 環境に影響を与える脆弱性の報告が急増している以上、ICS環境を運営する企業は脆弱性に速やかに対応できる体制を構築することが今まで以上に求められています。

工場セキュリティガイドラインとは？

調査結果が示すように工場システムのセキュリティ被害はすでに甚大な規模となっています。その一方で、工場を取り巻く環境は、テクノロジー、パンデミック、法制度など、様々な要因で急速に変化しています。変化が激しい現在の状況では、何をどこまで対策すべきか、それをどのように実現できるかの検討を行うことが非常に困難になっています。この状況を踏まえて、工場セキュリティガイドラインが策定されています。

工場セキュリティガイドラインは、工場システムに必要となるセキュリティ対策において、参照すべき考え方やステップを「手引き」として示しています。セキュリティ対策を、何を、どこまで、どうやってやれば良いのかがわかっていないといった事業者もこのガイドラインを参照することで、対策の考え方や手順を理解できるようになっています。

このガイドラインでは、工場のセキュリティ対策を提示するにあたり、わかりやすさの観点から、DXを進めている電子機器メーカを想定企業に、その企業のプリント基板の生産工場を例示し、解説されています。例示されている企業はスマートファクトリーの取り組みをスタートした段階で、工場の運転からデータを収集して利活用を検討していくレベルであることが設定されており、これはスマートファクトリーの段階のレベル1に相当しています。また、例示されている工場は、業務内容や業務の重要度によってそれぞれのゾーンが設定されています。

この設定を踏まえて、工場システムのセキュリティレベルを高めていくためにどのようなことを実施していけば良いのかがステップ1、2、3に分けてガイドラインに記載されています。
ステップ1では、主にセキュリティ対策を立案する前に行うべきこと
ステップ2では、セキュリティ対策の立案と対策のポイントについて
ステップ3では、セキュリティ対策を如何に実行していくべきか
がそれぞれ解説されています。それぞれがどういった内容なのか、ガイドラインから一部抜粋しながら、解説します。

ステップ1のセキュリティ対策を行う前に整理すべきこととして、大きく3つが挙げられています。1つ目が経営目標の整理です。セキュリティ戦略自体が企業の経営目標を実現するために設定されるべきであり、この部分を整理できていなければ、適切なポイントに、適切なリソースやコストを割くことができません。次に外部要件の整理です。取引先や、法規制、業界などからどのような要求が来ているのか、またISOや業界のガイドラインなどの標準規格はどういったものがあり、自社はそれに対応できているか、ということを確認しておかなければなりません。最後に内部要件と状況の整理です。自社の工場セキュリティに関わるシステムや運用管理などの体制が現状どのようになっているかを把握しておかなければなりません。例えばシステム面では、どのようなネットワーク構成を取り入れていて、装置や機器、またその中で動いているソフトウェアやサービスがどういったものがあるのか、それらにどのようなセキュリティ対策が施されているのか、といったことを整理する必要があります。これらの整理を踏まえて、初めてどのようなセキュリティ対策が必要になるのかが適切に判断できるようになります。

ステップ2では、セキュリティ対策の立案について解説されていますが、重要な考え方として、「セキュリティ要求レベル」というものがあります。工場のすべてのシステムに対して、セキュリティの投資を万全に行うことは難しく、現実的にはシステムが担う「業務の重要度」に応じたセキュリティ対策の重要度を決めていく必要があります。次に、そのシステムが脅威を受ける可能性の大小を踏まえて「脅威レベル」を設定します。この「業務の重要度」と「脅威レベル」をかけ合わせて、「セキュリティ要求レベル」を設定していく必要があります。企業は、このセキュリティ要求レベルに応じて、優先順位を設定して、どこにどれくらいのリソースを割くべきかを判断していくこととなります。

さらに、ガイドラインではセキュリティ要求レベルを、ガイドラインの想定工場の各ゾーンに落とし込んだ例も記載されています。各ゾーンにおける業務内容、業務の重要度、脅威レベル、セキュリティ要求レベルが記載されています。実際の工場のセキュリティ対策を進めるにあたっても、業務重要度、脅威レベル、セキュリティ要求レベルをゾーンごとに整理、リスト化しておくことで、工場全体でセキュリティ対策の優先順位をつけやすくなります。

また、ガイドラインでは実際の対策の項目として、システム構成面と物理面での対策が挙げられています。システム構成面では、ネットワーク、サーバー、データベースなどの機器やソフトウェアに対する脅威を想定しており、物理面では、火災、爆発、災害などの自然災害や、不正侵入、窃盗などの直接的な脅威を想定しています。両方を合わせて考えることで、工場全体のセキュリティを検討していくことができます。

一方で、システム構成面のセキュリティと物理面のセキュリティは、対象によって扱う部門が異なる場合が多くあります。例えば、システム構成面のセキュリティは社内のセキュリティ部門や情報システム部門が担当し、物理面の対策、例えば入退室の管理や工場設備の管理は総務部門や生産部門などが担当している企業も多いのではないでしょうか？企業全体のセキュリティレベルを底上げしようと考えた場合、これらの組織が独立で活動するのではなく、それぞれの役割と連携策を明確にしておく必要があります。

最後のステップ3では、セキュリティ対策のPDCAサイクルの確立について解説されています。セキュリティ対策を確立した後も、外部や内部の要件が変化し続ける上に、常に脅威や環境も変化が起こるため、継続的に対策を見直し、改善することが必要になるためです。工場セキュリティは組織横断で取り組まないといけませんが、PDCAサイクルで状況を共有しておくことで、コミュニケーションの強化や責任の分担の明確化などにも繋がります。PDCAサイクルを確立した上で、セキュリティ対策の維持・改善のために必要な活動を見出し、組織で次のアクションを検討していくことが求められます。

ガイドラインの今後の展開

今後の動きとして、このガイドラインをベースに各社、各業界が各々のサプライチェーンにカスタマイズしたガイドラインが作成されていき、サプライチェーンリスク対策として、サプライヤーに対してこのガイドラインに記載されているようなセキュリティ対策が求められていくことをトレンドマイクロでは想定しています。ガイドライン自体にも調達仕様書のテンプレートが盛り込まれており、サプライヤーに対するセキュリティの働きがけを促すような記載も含まれています。実際に、日本自動車工業会、日本鉄鋼連盟、日本医療機器産業連合会といった産業団体はこのガイドラインの公開前からガイドラインに対してレビューに入ってコメントをしており、これらの業界でのガイドラインに組み込まれることも考えられます。

一方で、サプライヤーにサイバーセキュリティ対策を求める際の大きな注意点として、コストの問題があります。経産省と公正取引委員会が2022年11月に公開したWebページでは、「取引先のコスト上昇分を考慮せずに、サイバーセキュリティ対策を要請することが独占禁止法上問題となる」ということが記載されています。工場セキュリティガイドラインのような対策をサプライヤーに求める際には、サプライヤーのコストについても検討していくことが必須となっていくと思われます。

まとめ

工場におけるスマート化の推進や高度化・巧妙化していくサイバー攻撃など、様々な要因によって、工場で稼働するICSやOTといったシステムへのサイバー攻撃は今後も増加していくことが予想されます。工場を運営する事業者は、自社のシステムが攻撃を受けることを前提に対策を進めることが求められています。どのように対策を進めていいかわからないといった事業者にとって、今回紹介した工場セキュリティガイドラインは対策の手引きとなります。また、まず自社のセキュリティレベルがどれくらいかを把握したい場合は、工場セキュリティガイドラインにチェックリストが付録されており、そちらを活用していくことを推奨します。

図15　工場セキュリティガイドラインのチェックリスト　経済産業省公開の概要資料より

工場セキュリティガイドラインに沿った対策について、具体的なセキュリティ製品等を検討されたいお客様は下記をご覧ください。

トレンドマイクロ製品で行う工場セキュリティガイドラインに沿った対策

オンマンド配信
2022年11月16日に経済産業省から「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」（以降、工場セキュリティガイドライン）の正式版が公開されました。本ウェビナーでは、この工場セキュリティガイドラインのなかで取り上げられている具体的対策にフォーカスし、その対策を行う際にご利用頂ける弊社OTセキュリティソリューションを紹介します。
これから工場セキュリティを始める方、工場セキュリティガイドラインに沿った対策を検討されている方は、ぜひご視聴ください。

詳細はこちら