Article Posted date 14 December 2021

管理視点で考える工場セキュリティの勘どころとして、第2回では品質マネジメントとOTセキュリティマネジメントを比較し、セキュリティ管理の視点について考察しました。
続く第3回は、本テーマのまとめとして、OTセキュリティマネジメントの意義について解説します。

工場セキュリティの勘どころ-3-図1

生産プロセスとの関係

あらためて、OTセキュリティがどのように生産プロセスに関与するかを振り返ってみます。工場の産業制御システムに対するサイバーセキュリティが強化されたからといって、目に見えて製品の品質が向上するわけではありません。また、製品のコストダウンにつながるとも限りません。「やっぱり、セキュリティ対策なんて意味がないのでは?」 、そんな声が聞こえてきそうです。
ただ、工場の生産プロセスを下支えするインフラとしての役割を考えるとどうでしょう。ここでは、工場の生産プロセスとの関係を、セキュリティの基本要素である可用性・完全性・機密性の面から解説します。

可用性
たとえば、工場ラインのプロセス制御を司る制御システムがランサムウェアに感染し、動作できなくなれば工場の稼働率に直結します。これは、機械装置が停止するのと同じであり、一般的に工場関係者が最もセキュリティ侵害の影響をイメージしやすいことです。
「OTのセキュリティ侵害=工場ラインの停止(制御システムの停止)」が1丁目1番地になります。

完全性
たとえば、IT環境のシステムであるCAD(Computer Aided Design)により設計データとなった情報は、CAM(Computer Aided Manufacturing)により生産制御データに展開され、OT環境の制御システムへと連携が行われます。そうした設計から派生する各種設定データは、機械装置を適切に動かすために大変重要なものです。
もし、制御システムへのセキュリティ侵害により設定データが改ざんされ、異なった加工処理をしたらどうなるでしょう?出荷検査で気づくまで大量の不良品を作り続けるかもしれません。
こうした完全性の面では、意外とセキュリティ侵害の影響イメージが薄いのではないでしょうか。しかしながら、総合的な損害を考えると最もインパクトが大きいことかもしれません。

機密性
たとえば、先ほど完全性で触れた制御システムの各種設定データ。素人目には単なる数字の羅列かもしれません。ですが、競合他社から見れば「秘伝のタレ」を作るレシピのように、大変貴重な情報になり得るのです。
また、製品を構成する原材料などの情報も、競合他社にとっては関心のあるところです。一般的にMES(Manufacturing Execution System)と呼ばれる製造実行システムでは、各種品目や部品表の情報をデータベースとして持つため、MESがサイバー攻撃を受けて情報が漏洩すると、非常にインパクトが大きくなります。OTセキュリティは機密性に無縁だと思われがちですが、それはあくまでも幻想です。生産プロセスに関わる各種データは、同業他社から見れば宝の山なのです。

こうしてみると、生産プロセスの安定稼働と自社の競争力の源泉を守るために、OTセキュリティの重要性を再認識していただけるのではないでしょうか。

工場セキュリティの勘どころ-3-図2

顧客要求の変化

顧客のセキュリティ意識は、確実に高まっています。特に製造業であれば、顧客と製品仕様や図面データを受け渡し(共有)することも少なくないため、このような情報の漏洩には細心の注意が必要です。これは、一般的にITセキュリティの範疇だと思われがちですが、顧客からするとITもOTも区別はありません。工場で何かセキュリティインシデントが起こったとすると、顧客の心配事はこうした情報の取扱いにも及びます。
特にセキュリティマネジメントといった管理面の不備があると、組織的な問題として重く捉えられてしまいます。些細な工場のセキュリティインシデントがレピュテーションリスク(風評リスク)につながれば、そのインパクトは非常に大きくなるのです。悪い噂は形を変えて広がりやすいため、ビジネスの取引関係に悪影響を及ぼすことも十分に考えられます。
組織活動として、OTセキュリティマネジメントを確実に推進していくことが、時代とともに変化する顧客要求に応えることになるのです。

工場セキュリティの勘どころ-3-図3

セキュリティは工場管理の1つ

現在、企業の品質追求や環境対策への取組みは、製品・サービスの直接的な価値向上のみに留まらず、企業価値向上のためにも不可欠です。顧客はもちろんのこと、社会全体からの信頼をいかに獲得していくのか。そうした取組みの1つとして、製品・サービスの提供を支える基盤としての役割と、組織的な管理活動による信頼確保が必要なセキュリティ対策こそ、これからのキーファクターになると考えます。
今後、企業はDX(デジタルトランスフォーメーション)の推進により、サイバー空間とフィジカル空間を高度に融合させることによる付加価値の向上を目指していきます。そうした経営の「攻め」に対して、セキュリティ対策による「守り」を同時に推進することが重要です。いくら画期的なデジタル改革を行ったとしても、サイバー攻撃への対処を怠れば、社会的信頼の失墜は避けられません。
工場の管理活動として、品質マネジメントと環境マネジメントに加えて、OTセキュリティマネジメントの重要性がより増していくのは間違いないのです。

工場セキュリティの勘どころ-3-図4

さいごに

「管理視点で考える工場セキュリティの勘どころ」をテーマに、計3回にわたって解説しました。
OTセキュリティマネジメントの意義をあらためて考えてみると、思わぬ気づきがあったのではないでしょうか。これから、デジタル化の推進により工場のスマートファクトリー化が加速していきます。そうしたなか、「攻め」と「守り」の両輪を担うものとして、OTセキュリティマネジメントのPDCAサイクルを回していくことがポイントです。

執筆者

KPMGコンサルティング
顧問 福田 敏博 ※掲載当時

管理視点で考える工場セキュリティの勘どころ

    関連リンク

    工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。

     

    お問合せ

    ネットワークに結ばれた地球

    サイバーセキュリティ

    サイバーセキュリティ

    多様化するサイバー攻撃に対し、防御から復旧までサイバーセキュリティ対策をトータルに支援し、内部と外部双方の脅威に備えます。
    サイバーセキュリティ関連情報

    サイバーセキュリティ関連記事バックナンバー

    サイバーセキュリティ関連記事バックナンバー

    サイバーセキュリティに関する最新情報や調査結果などの解説、KPMGが提供する支援サービスを紹介しています。