本連載は、日経産業新聞(2023年8月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
スマートファクトリーが備えるべきセキュリティ要件
昨今、サイバー攻撃の標的は多岐にわたっていますが、工場もその1つに挙げられます。自動化や効率化を目指して、工場のシステムが外部とつながるようになり、リスクが高まっています。
それに加え、地政学リスクが顕在化し、国際情勢の変化が起きても経済活動を維持できる強靭なサプライチェーンの構築が課題となっています。
2022年5月に「経済安全保障推進法」が成立し、半導体業界を中心に日本国内に新工場を建設する流れが顕著となりましたが、企業のサプライチェーンで重要な拠点となる新工場は、サイバー攻撃を画策する者にとっては格好の標的となります。
そのため、政府は工場のセキュリティ対策を推進する姿勢を強めており、経済産業省は2022年11月に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」をまとめました。
工場では、工場設備の安全・安定な稼働への影響を加味してセキュリティ対策を講じる必要がある一方、工場システムにウイルス対策ソフトウェアを導入するといった一般的な対策を実施することは困難です。
このため、前述のガイドラインでは、リスクアセスメントを通じて工場の個別の事情に応じたセキュリティ対策を立案・実行することを求めています。
新工場の建設時には、企画・構想の段階からセキュリティ対策を講じる「セキュリティ・バイ・デザイン」が重要となります。これを実践するには、建設の各段階に合わせて必要なセキュリティ対策を実施することが欠かせません。企画段階で不可欠なのが、新工場の構想に対するリスクアセスメントです。新工場の業務やシステムへのサイバー攻撃のリスクや被害を想定して新工場が備えるべきセキュリティ要件を定め、理想とする姿を具体化するものです。
設計段階では、工場設備にかかわるベンダーへの発注にセキュリティ仕様を含めることが重要です。
導入する製品が備えるべきセキュリティ機能、開発サイクルでのセキュリティ上の順守事項を定め契約を結ぶことが求められます。
工場段階で組み上がった工場設備に対して、セキュリティ対策が効果的に機能しているかを確認するセキュリティテストを実施することも不可欠です。人工知能(AI)などで工場の自動化や柔軟な生産ラインを実現するスマートファクトリーでは、インターネットなど外部接続時のセキュリティ対策は重点的にチェックすべきでしょう。工場の立ち上げ・稼働段階では、従業員に対するセキュリティ教育も必須となります。
新工場の建設をセキュリティ対策確立の絶好の機会と捉え、国際規格やガイドラインなどを参照しながらセキュリティ・バイ・デザインに取り組むことが肝要となります。
日経産業新聞 2023年8月17日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
シニアマネジャー 牛越 達也
