今回は、経済産業省が提示している工場セキュリティガイドラインについて紹介します。
出典:経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」
これから工場システムのセキュリティ対策を始めようとしているけれども、何から始めて良いのかわからない…というような方へ向けたものとなっています。
この工場セキュリティガイドライン自体は100ページほどありますが非常にわかりやすくまとまっているものですので、本記事ではざっと概要を紹介できればと思います。最後に、本ガイドラインで説明されているようなセキュリティ対策に有用な製品も一つご紹介させていただきます。
なぜ工場セキュリティが重要なのか
まず、なぜ経済産業省がガイドラインを提示するほど工場セキュリティが重要なのかについてご説明します。
・工場システムでは可用性が重視されるため
サイバー攻撃によってシステムが停止すると、物理的な設備や人命の安全が脅かされる可能性があります。例えば、電力供給や交通システムの制御が乗っ取られると、深刻な事故や災害が発生する恐れがあります。そのため、工場システムにおいては可用性が重視されており、その可用性を守るために工場セキュリティが重要になっています。
・ITとの統合によるリスクが増加しているため
最近の工場システムはITと繋がっていることが多く、ITネットワーク経由でシステムが攻撃されるリスクも増えています。このようなリスクに対応するためには、企業側でしっかりとセキュリティ対策を行う必要があります。
最近では、名古屋港統一ターミナルシステム(NUTS)がランサムウェアに感染した事例がありました。リモート接続機器の脆弱性を悪用して不正アクセスが行われたとみられており、NUTSシステムが使用できなくなりました。それにより、コンテナの積み下ろしや搬入・搬出作業が一時的に停止し、物流に影響が及びました。
工場セキュリティガイドラインの概要
それでは、経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」についての概要をご紹介いたします。
ガイドラインでは、工場セキュリティ対策企画・導入の進め方について、大きく3つのステップで書かれています。
それぞれのステップの概要を簡単にご紹介します。
ステップ1:内外要件や業務、保護対象の整理
工場セキュリティを始めるにあたり、まずは現状の情報の整理を行います。
整理すべき情報は、主に以下の4つです
・内部要件
・外部要件
・業務
・保護対象
「内部要件」は、自社の経営目標や事業継続計画などが当てはまります。特に、工場セキュリティに関わるような事項について、情報を整理します。例えば、セキュリティポリシーはどうなっているのか、セキュリティ教育体制はどのようになっているか、などの観点で整理していきます。
「外部要件」は、国による法規制や取引先からの要求などが当てはまります。セキュリティについて外部からどのような規制・要求があるのかを整理します。例えば、工場セキュリティに関わる法規制としては、サイバーセキュリティ基本法などがあります。
「業務」は、工場システムが日々の業務でどのように使われているのか、そしてそれがどの程度の重要性を持つのか、が当てはまります。
「保護対象」は、業務を実施する工場システムの構成要素が当てはまります。ネットワーク、装置・機器・データなどを洗い出していきます。
また、業務や保護対象は、ゾーン(同等の水準のセキュリティ対策が求められる領域)分けをすることも重要です。
ステップ2:セキュリティ対策の立案
ステップ1で収集・整理した情報に基づき、工場システムのセキュリティ対策方針を策定していきます。セキュリティ対策は、「システム構成面」と「物理面」に分けて考えます。
「システム構成面」での対策では、下記のような内容が含まれます。
① ネットワークにおけるセキュリティ対策
② 機器におけるセキュリティ対策
③ 業務プログラム・利用サービスにおけるセキュリティ対策
「物理面」での対策では、下記のような内容が含まれます。
① 建屋に関わる対策
② 電源/電気設備に関わる対策
③ 環境(空調など)に関わる対策
④ 水道設備に関わる対策
⑤ 機器に関わる物理的対策
⑥ 物理アクセス制御に関わる対策
ステップ3:セキュリティ対策の実行、及び計画・対策・運用体制の不断の見直し(PDCAサイクルの実施)
ステップ3では、ステップ2で立案した対策を実行し、必要に応じてステップ1に戻って情報整理の見直しなどを行っていきます。サイバー攻撃の手法は日々変化・進化していきますので、100%のセキュリティ対策を行うのは困難です。その中でも被害を最小限に抑えていくために、本ステップ3を参考にしてライフサイクルでの対策を行う必要があります。
例えば、サイバー攻撃の認識と対処の一連の取組を整理したモデルとしてOODAプロセスというものが紹介されています。
※OODA=監視(Observe)-分析(Orient)-判断(Decide)-行動(Act)
工場システムに障害が起きた場合、状況に応じて、どのような場合にセキュリティ部門と連携するのか、連携する条件・基準や手順を定めておくことが重要です。そのためにこのOODAプロセスが参考になります。
以上が、工場システムセキュリティガイドラインの概要となっております。
それぞれの具体例など、詳細な部分についてはぜひガイドラインを読んでみてください。
工場セキュリティ製品の紹介
株式会社テリロジーでは、Nozomi Networks社の「Guardian」という製品を取り扱っております。工場システムにおける通信と資産の可視化、及び脅威検知を行える強みを持っています。
本ガイドラインにおいては、「保護対象の整理」「ゾーン分け」「システムにおける対策立案」「サイバー攻撃の認識」などに言及されていました。「現状の資産や通信はどうなっているのか?」「攻撃を検知する仕組みはあるか?」という部分を可視化するためにNozomi Networks社のGuardianは有用です。
Nozomi Netwroks製品については、こちらのページを参照ください。
まとめ
今回は、経済産業省の工場セキュリティガイドラインについてご紹介いたしました。
工場システムへのサイバー攻撃事例は増加しています。工場セキュリティ対策を始める際は、ぜひこのガイドラインを活用してみてはいかがでしょうか。
- カテゴリ:
- Nozomi Networks
- OTセキュリティ
