経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」に基づくセキュリティ対策の進め方

経済産業省は、2022年に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」（以下「工場セキュリティガイドライン」）を策定しました。また、2024年にはその別冊「スマート化を進める上でのポイント」がリリースされました。

本稿では、工場セキュリティガイドラインの概要と、ガイドラインに沿った工場のセキュリティ対策の進め方について解説します。併せて、対策の検討・実装において参考となる資料についても紹介します。

工場セキュリティガイドライン策定の背景

工場のシステムや機器においてはネットワーク化（工場内外とのネットワーク接続の増加）、オープン化（汎用的な製品や標準プロトコルの利用の増加）が進んでおり、これに伴ってサイバー攻撃を受ける可能性も高まっています。一方で、安定した稼働に対する要求が高くセキュリティ対策ソフトなどを導入しづらい、設備のライフサイクルが長く古い機器が残りやすいといった理由から、セキュリティ対策の実装は遅れがちであり、ひとたびサイバー攻撃を受けると被害が生じる可能性が高い状況です。

工場環境へのサイバー攻撃が成立すると、以下のような企業のビジネスに大きな影響を及ぼす事象が発生する可能性があります。

生産活動の遅延や停止
製造ノウハウなどの企業秘密の漏えい
事故などによる従業員の健康や工場周辺の環境への被害
上記事象に伴う企業のブランドイメージの低下や顧客からの信頼の喪失

これらのリスクを低減するためには、工場環境特有の事情を考慮しつつ、セキュリティ対策を実装することが必要となります。

経済産業省は、国内産業界のサプライチェーン全体のサイバーセキュリティ対策強化という方針を基に、2019年以降各種のフレームワーク、ガイドライン、サービスなどを整備しています。工場セキュリティガイドラインはその一つであり、工場のセキュリティ対策を企画・実行する際の考え方やステップを示すとともに、技術面、運用・管理面の対策を記載しています。

2024年4月に開催された同省の第8回産業サイバーセキュリティ研究会では、これらのガイドラインを調達要件化することなどにより実効性を強化する方針が示されています。工場セキュリティガイドラインも今後の政策で活用されることが想定されるため、内容を理解・把握し、工場にセキュリティ対策を実装していくことが推奨されます。

工場セキュリティガイドラインの特徴

本ガイドラインは、まず想定工場を設定したうえで、セキュリティ対策の企画・導入の進め方やプロセスを順番に説明していくという形式になっています。このような形式になっている理由として、工場は業界・業種や個社による差異が大きく、抽象化したモデルをベースにしたアプローチを適用するのは難しい場合があることが考えられます。

進め方やプロセスの説明とともに、想定工場におけるアウトプットも例示されているため、具体的な作業のイメージをつかむことができます。また、各プロセスで考慮すべき事項、例えば工場におけるセキュリティ脅威やセキュリティ対策についても例示されており、実際の企画・導入時のインプットとして用いることが可能です。ただし、あくまで想定工場における例に過ぎないことから、実際に本ガイドラインに沿ってセキュリティ対策を導入する場合は、個別の業界・企業・工場の事情を踏まえて、利用者自らが要件などの整理やセキュリティ対策の立案を行うことが必要になります。

なお、本ガイドラインは一般的な国際規格のようにセキュリティ要件を定めることはしていないものの、対策の実装状況を確認するチェックリストを付録として掲載しています。工場のセキュリティ対策の企画・導入において実施すべき事項や重要なセキュリティ対策を簡易的に確認できますので、必要に応じて活用すると良いでしょう。

工場セキュリティガイドラインに沿ったセキュリティ対策の進め方

以下に、ガイドラインにおけるセキュリティ対策の企画・導入のステップを示します。

「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を基にPwC作成

大きな流れとしては以下のとおりです。

組織の状況の整理（ステップ1-1）
工場環境の整理（ステップ1-2～1-7）
優先度・重要度の評価（ステップ2-1）
対策の検討・立案（ステップ2-2）
対策の実行（ステップ3）
対策の運用（ステップ3）
対策の評価・改善（ステップ3）

全体としてはいわゆるPDCAサイクルを前提としています。最初に組織の状況を整理・把握し、事業視点でセキュリティ対策の必要性を明確にする点も含め、ISO 27001などのマネジメントシステムと通じるところがあります。

一方、工場環境の整理にあたっては「ゾーン」という概念を用いています。ゾーンは、「業務の内容や重要度が同等である領域」と定義されており、業務および保護対象（ネットワーク、装置・機器、データ）と紐づけられます。このゾーンの単位で、セキュリティ脅威やその生産・事業への影響、セキュリティ対策を検討していきます。これによって工場環境全体の概要を把握しやすくなるとともに、サイバー攻撃を受けた際のゾーン間での影響を抑止することが検討できるようになります。

実際の工場における業務や保護対象、サイバー攻撃を受けた際に起こりうる事象やそれらが業務に与える影響は、全て工場によって異なると想定されます。また、実装可能なセキュリティ対策についても同様です。前項にも記載したとおり、本ガイドラインを参考にしつつ、自社・自工場の状況に応じた対策を検討することが重要です。

「別冊：スマート化を進める上でのポイント」の概要

「工場のスマート化」とは、品質向上やコスト削減などを目的として、工場にデジタル技術を適用し、各種状況の見える化、データに応じた作業指示・支援、データ連携と協調製造などを実現することを指しています。これによって競争力の強化が実現できるものの、外部ネットワーク接続の増加やサプライチェーンの広がりなどによりセキュリティリスクが増加することが想定されます。

「別冊：スマート化を進める上でのポイント」は、工場のスマート化で想定されるセキュリティリスクに対応するため、工場セキュリティガイドラインの各ステップにおける留意点をまとめたものです。これによってセキュリティ対策の検討における観点の漏れを防ぎ、より適切な検討ができると考えられます。セキュリティ対策よりもスマート化のほうが先行しているケースも想定されるため、セキュリティ対策の検討を始める前に、別冊にも目を通しておくことを推奨します。

セキュリティ対策を進める際に参考となる資料

自社・自工場におけるセキュリティ脅威やセキュリティ対策を検討するにあたり、参考になる資料がIPAから発行されていますので、以下で紹介します。

スマート工場のセキュリティリスク分析調査調査報告書
スマート工場の実装モデルを類型化するとともに、モデルごとのセキュリティ脅威、被害（脅威による影響）、対策、対策の対象機器を整理したものです。2022年発行の第1版では7つの実装モデルが記載されており、2024年発行の第2版で3つのモデルが追加されました。工場セキュリティガイドライン以前から作成されていることもあり、ガイドラインとの紐づけはされていませんが、スマート工場におけるセキュリティ対策検討において、ガイドライン別冊とともに参考になるものと考えられます。
スマート工場化でのシステムセキュリティ対策事例調査報告書
工場の生産システムのライフサイクル（企画／設計・開発／運転・運用／保守／廃棄）に沿って、セキュリティ対策の事例を整理・集約したものです。設計・開発時に行う対策など、工場セキュリティガイドラインに含まれていないものもあり、ガイドラインと併せて見ることによって対策の網羅性が上がると考えられます。
別紙において、対策事例と工場セキュリティガイドラインの対応が示されています。ただし、ガイドライン本文のステップではなく「付録E チェックリスト」の番号で記載されていることに注意が必要です。