製造業DXに立ちはだかる未知の脅威、
「OTサイバーリスク」って何？

製造業のサイバーセキュリティの「現在地」

──製造業におけるサイバーセキュリティの現状について教えてください。

川口：まず、サイバーセキュリティを考える前提として、私たちは「変化の激しい時代を生きている」ことを改めて認識するべきでしょう。

日本でのビジネスにおける主な大きな変化は、少子高齢化による労働人口の減少と、厳格化する残業規制。企業は以前のように人材を確保しにくくなるので、テクノロジーを活用するしかありません。

さらに、コロナ禍によって以前のような環境を確保できず、ますますテクノロジーの活用が重要になった。その結果、さまざまな設備、システム、そして業務がデジタル化、オンライン化しています。

例えば、エンジニアを派遣するのが難しいので、ネットワークを使って遠隔地から機器を管理しようと考えるわけです。また、経営者は迅速な判断を下すために、ほぼリアルタイムの生産実績を手に入れようとする。

こうした背景から、これまでのセキュリティ対策では、“閉ざされた”工場内のセキュリティだけに気を配ればよかったのですが、インターネットにつながるようになり広範なセキュリティ対策が必要になっています。

そうすると、そもそもインターネットにつながる想定で設計されていない機器が脅威にさらされることになります。これまでは「つながってないから大丈夫」だと信じ、脅威は物理的なものが中心で、設備の前にいる守衛さんに止めてもらえばいいと考えていました。

ところが、急にネットワークとつながったことで、悪人がサイバー上で工場の敷地内を自在に“歩き回る”時代となったのです。

また、認識していなくても実はネットワークにつながっていたというケースもあるので注意が必要です。

徳島県の病院がランサムウェアに感染し電子カルテや院内LANが使用できなくなる被害を受けましたが、医療機器本体は直接インターネットにつながっていなくて、ベンダーがメンテナンスのために置いていた機器がインターネットに接続されていて、そこが感染源となりました。

病院の資産ではないので資産管理台帳にも載っておらず、知らないうちに危険にさらされていた。こういうケースもあるように、どこに脅威があるかわからない。リスクは完全に把握できないということも認識すべきです。

甚大な被害のリスクをはらむサプライチェーン

──川口さんからみて、製造業のサイバーセキュリティの特殊性は何なのでしょうか。

川口：影響範囲の広さです。これまで製造業の多くが気にかけていたのは情報漏えいでしたが、今は生産ラインが脅かされるという認識が広がってきました。製造業は他業界に比べてサプライチェーンが大きく、関わっている企業が多い。

その中で、大手では当たり前のように対策を講じていますが、取引先はどうか。セキュリティ事件によってサプライヤーが部品を生産できなくなり、大手製造業がラインを止めざるを得なくなった事件は記憶に新しいところです。

サプライヤーは、規模が小さい企業も多いです。大手とは持っている資金も人も違いすぎます。大手は取引先に対して「セキュリティ対策をちゃんとしてください」とは言っているでしょうが、「ちゃんと」を具体的に説明して費用まで負担するのは難しい。

けれども、サプライチェーンのどこかにセキュリティ上の事件・事故が起こり、ビジネスを継続できなければ、サプライチェーン全体が機能不全に陥る。セキュリティに関する今もっとも悩ましい問題ではないでしょうか。

──森永さんは日頃から製造業のセキュリティ環境を目の当たりにしていますが、現状をどのように感じていらっしゃいますか。

森永：企業によって差はありますが、情報システムの対策は施しているものの、制御システムはまったく対策されていないことが大きな問題と捉えています。

制御システムの対策は、危機意識を持ち始めた企業がようやく出始めたくらいで、お問い合わせいただく内容も、「セキュリティ対策はどうしたらいいのか」といったゼロからの相談がほとんどです。

日本の製造業は、情報システムと制御システムを物理的に分けているケースが多く、情報システムはネットワークにつながっているので危機意識が高い。盤石とは言えないものの対策を講じていますが、制御システムはオフラインの場合がほとんどなので、セキュリティ対策は不要と誤解しがちです。

ただ、川口さんの言う通り、制御システムでもネットワークに繋がり始め脅威が増しているのと、そもそも「オフラインだから安心」は大きな誤解で、そこに対策を講じる必要がある。その理解がまだ進んでいません。

三菱電機だからわかる「守りの要諦」

──情報システムと制御システムでは、脅威からの守リ方が大きく違うものでしょうか。制御システムを守るポイントについて教えてください。

森永：情報システムの場合は、インターネットなどの外部ネットワークとの境界を守ることが重要です。一方、制御システムの場合はインターネットなどの外部ネットワークに直接つながっていなくても、現場から入ってくる脅威に備えなければなりません。

例えば、データをやりとりするためにUSBメモリを使うことがありますが、情報システムにUSBメモリを接続して知らぬ間に感染したものを制御システムに接続してしまったら、当然感染してしまいます。システム内はまったく無防備ですからね。

また、海外では外部のメンテナンス要員が信用できない人物で、サイバー攻撃を企てて勝手に無線機器を接続されたというケースもあります。こうした機器を検知する仕組みが必要なのです。

川口：（目の前のハードウェアを指差して）それが「OTGUARD」というこの機器ですか。

森永：OTGUARDはハードだけでなくアセスメントや運用サービスなども含めたソリューション全体の名称で、これは不正通信を遮断し、正常通信のみを通過させる一つのコンポーネントです。

先ほど、川口さんがサプライチェーンに関わる大小問わずすべての企業が対策を講じる必要があるとお話されていましたが、私もそう思っていて、大手企業ならセキュリティ担当者を配置できますが、中小企業ではそこまで取り組むのは難しいことが多い。

ですので、規模の小さな企業でも対策を講じることができるソリューションが必要だと考え、ハードだけの販売ではないモデルを考えたんです。

機器にはリモートアクセスできるので、外部からチェックしたりネットワークを遮断したりするサポートサービスも提供しています。これなら中小企業であっても、すぐにセキュリティ対策を始められますからね。

さらには24時間365日、運用を丸ごと任せていただくことも可能です。各企業でセキュリティの専門家を雇うと人件費もかかりますが、サービスを利用することでかなり抑えられます。

制御システムをサイバー攻撃から守るOTGUARD

──OTGUARDは森永さんがゼロから企画したと聞いています。製造業の三菱電機がセキュリティ事業を手がけることになった背景を聞かせてください。

森永：私はもともとエンジニアとして公共施設・オフィスビル・データセンターなどのお客様に制御システムを届けるビジネスを担当してきました。

制御システムの設計を手がける中で、将来必ず制御システムは脅威にさらされるリスクを感じ、そして単品のセキュリティ対策だけではなく、システム全体として守る必要性を感じるようになり、OTGUARDの開発を普段の業務と並行して考えるようになったのです。

川口：元は設計エンジニアとはユニークですね。技術的な優位性、強みをどこにおいたのですか。

森永：まず我々の強みは、自らが製造業であり、制御システムを手がけてきたことと、製造業として製造の現場を熟知していることにあります。自社製品だけでなく、幅広くOT製品の技術や運用を知り、どこに問題や脆弱性があるのかを把握しているわけです。

川口：私はセキュリティのコンサルティングサービスを手がけていますが、ITセキュリティ企業からの相談に乗ることもあります。その際、市場規模が大きいからという理由で、製造業向け事業を強化したいという声をよく耳にします。

しかし、ケーブルから出てきたデータを処理するのは得意でも、製造業を知らなければそれ以外の問題や課題を見抜けずに適切なソリューションを提供できないのは目に見えています。なので、製造業の現場を知らないITベンダーには「制御システムの取り扱いの温度感には気を付けた方がいい」と伝えています。

確かに自らが製造業であり、製造業向けのソリューションを提供している三菱電機が提供していることは大きな強みですよね。

森永：電源一つをとってもその違いを「見抜ける、見抜けない」の違いがソリューションに出てくることはあるでしょうね。このセキュリティスイッチは製造業向けに作ったものなので、DC電源で稼働する工場の制御盤内に設置することも想定して機器をラインアップしています。

川口：ITだとデータセンターやサーバーラックに入れる想定ですが、工場内で使用する電源問題まで考えることは大事です。

それから、「業務プロセスまで知っている」ことも大きな違いだと感じました。制御における業務プロセスがどう設計されているのか、もし壊れるとどこに影響するか。そういう会話ができないと、製造業には入っていけない。

OTGUARDはPDCA全体をサポートするソリューションとのことですが、特に重要なのがPLANではないでしょうか。制御システムにおけるリスクやシステム構成の特徴について認識できていないと、何をしていいのかがわからない。

企業には、しっかりとPLANに取り組んでほしいですね。どの機器がサイバー攻撃で壊れたら業務が止まるのか、クリティカルポイントを知ることに大きな価値があるからです。その相談に乗ってくれるOTGUARDの優位性は高いと思います。

OTGUARDが切りひらく未来の安全な工場

──今後、OTGUARDのビジネスをどのように拡張していくお考えですか。

森永：運用面をしっかりサポートできるように、運用サービスを充実させていきたいですね。あわせて三菱電機のさまざまな製品との連携を強化して、製造現場に一層の安心を届けたいと考えています。

川口：未来においては、OTGUARDのような仕組みの必要性が認知され、生産システム構築時に最初から組み込まれていている状態が理想です。

しかし、認知というのはなかなか高まらないものです。ウイルス対策ソフトを広めた方から話を聞いたことがあるのですが、多くの人がその必要性を感じていないときから、莫大なマーケティング費用をかけて、何年何年も必要性を説き続けて、ようやく100%近い導入率になったそうです。

もういいだろうと思っていることでも、言い続けなければ世の中には浸透しないもの。私のところには大手企業からの依頼が多いのですが、大手企業だけをケアしても日本はよくなりません。コミュニティを盛り上げることで横のつながりや地域のつながりを構築して、セキュリティに関する認知を高めようと、全国あちこち飛び回っています。

OT分野におけるセキュリティ対策の必要性は、まだまだユーザーに認知されていない状況です。先陣を切ることには大変な苦労がともなうでしょう。それでもソリューションを用意し、地道に広くメッセージを届けようとする三菱電機の姿勢には、大いに共感しています。

森永：ありがとうございます。私がゼロから立ち上げたという背景もありますが、私自身が製造業に勤めるビジネスパーソンですから、製造業を活性化させたいという思いは強い。セキュリティは地味ですが、それがなければ安定した生産体制の確保は不可能です。使命感を持って進化させていきます。