Special
» 2018年07月18日 10時00分 公開

製造業IoT:工場で新たな価値を生むデータ、どうやって守るべきか?

スマートファクトリー化は製造業にとって大きな価値を生むが、サイバー攻撃のリスクを高めることになる。価値を生み出すデータを守るために、製造現場では何を考え、何をすべきだろうか。ネットワークの専門企業に話を聞いた。

[PR/MONOist]
PR

 製造業にとって、現場情報の見える化や自動制御を行うスマートファクトリー化は、大幅に生産性を改善しさらに将来へ向けてマスカスタマイゼーションやフレキシブルな生産体制を構築可能にするなどの新たな価値を生む。しかし、外部とのデータ連携を進めれば、同時にサイバー攻撃のリスクが高まることになる。

 従来、製造現場は外部との接続がなかったために、サイバーセキュリティについて考える必要がなかった。そのため一般のオフィスなどと異なり、何らかの対策が組織的に取られている場合はほとんどない。しかし、スマートファクトリーは外部との「つながる化」が大前提となるために、新たにサイバー攻撃のリスクが生じることになる。

 実際にサイバー攻撃により、工場やプラントが稼働停止になった事例も数多く存在する。有名なものでは、2010年に発見されたマルウェア「Stuxnet」がある。これはネットワーク的には閉鎖環境に存在した、イラン核施設の遠心分離器の制御システムに、USBメモリ経由で侵入。制御システムを破壊し、同施設を稼働停止に陥れた。工場などの制御システムセキュリティを標的とした最初の大規模な攻撃ということで世界中で大きな注目を集めた。

 また、最近では2017年5月に世界的に流行したランサムウェアの「WannaCry」が製造業を驚かせた。日本企業でも自動車工場など数多くの工場が被害を受け操業停止となった。ランサムウェアはPCを使用できないようにし、使えるようにする代わりに身代金を要求するというマルウェアだ。その意味では、「お金を払う人」をターゲットとしており、本来は工場をターゲットにしたものではない。それでも数多くの被害が生まれているところに工場のサイバーセキュリティ対策の弱さが伺える。

 これらのように、好むと好まざるとにかかわらず、スマートファクトリー化が進む以上、いつでもサイバー攻撃の脅威にさらされるリスクは避けられない。さらにそのような環境であるにもかかわらず、工場でのサイバーセキュリティ対策は大幅に遅れており、あまりにも無防備な状態である。攻撃者たちにとっては、まさに「狙い目」となってしまっているという現状があるのだ。

セキュリティで「何を守るべきなのか」

 ただ、多くの製造業にとって、無縁だったサイバーセキュリティへの対策をすぐに行おうとしても「何から手を付けていいのか分からない」というのが現実だろう。では、操業への影響を抑えて、サイバーセキュリティを実現するにはどうしたらよいのだろうか。ネットワークの専門企業であるネットワンシステムズに聞いてみた。

 ネットワンシステムズは30年以上のオフィス向けのネットワークの構築に加え、ここ3年はスマートファクトリー向けのネットワーク構築で数多くの導入実績を残しているネットワークの専門企業である。そのネットワンシステムズがサイバーセキュリティ対策としてまず考えるべきだと主張するのが「何を守るのか」という点である。

photo ネットワンシステムズ 市場開発本部 ICT戦略支援部 シニアマネージャー 黒田宜範氏

 工場などの制御システムセキュリティを実現するのに、ファイアウォールを無数に立てる提案をするベンダーもあるが、ネットワンシステムズ 市場開発本部 ICT戦略支援部 シニアマネージャー 黒田宜範氏は「オフィス向けITのセキュリティと工場向けセキュリティでは求められるものが全く異なっており、守るべきものも変わってきます」と述べる。

 さらに「工場を部分的に捉えるのではなく全体的に捉えて、何を守ることが重要かを考えなければなりません。例えば、操業を犠牲にしたセキュリティ対策は本末転倒であり、また、ある製造ラインだけが高いセキュリティレベルにあっても他が無対策であれば意味がありません。工場全体としてバランスよく適切なセキュリティ対策を進めることが重要です」と黒田氏は工場セキュリティの考え方について述べる。

 その中で同社が現実的な取り組みとして提案するのが「セルエリアゾーンでは、操業に支障を来しかねないIT側のセキュリティ対策は適用しない」ということだ。

 「対策不十分なPCや運用体制が未整備の環境にIT側のセキュリティ対策を完璧に当てはめようとするのは無理があります。制御セキュリティの国際標準であるIEC62443シリーズで定義されるレベル0とレベル1の“現場”に当たる領域は、最低限の対策は行うものの、基本的には自由に使ってもらう形がよいでしょう。レベル2以上でITセキュリティの枠組みを適用し、運用の仕組みと体制を徐々に高めていくのが現実的な解決策ではないでしょうか」と黒田氏は述べる。

photo 工場内ネットワークの概要図とISA-SP99によるレベルの定義(クリックで拡大)出典:ネットワンシステムズ

課題となる資産の見える化

 加えて「守るべきもの」と「対策レベル」を定義して見える化し、計画的にセキュリティレベルを高める取り組みを進めていくことも重要だと黒田氏は主張する。「本来は現場の設備や環境に基づくリスク分析を行い、目標に定めた指標を満たすようゾーニングや階層化設計、物理的なアクセス制御などを状況に合わせて適用していきます」と黒田氏は具体的な取り組みについて述べている。

 こうした中で意外なハードルとなるのが「資産の見える化」である。「工場内の設備は数十年も使い続けているものもあれば、適宜入れ替わっているものもあり、一元的な資産管理や構成管理はほぼ行われていません。しかし、セキュリティ対策を行うにはこうした設備やネットワークなどは必ず把握する必要があり、できていなければ、何が正しくて、何が異常な通信なのかが分からないですし、また攻撃にさらされた際に侵入経路も特定できないためです」と黒田氏はその重要性を強調する。

 例えば、工場向けセキュリティでは許可した宛先だけを定義した、ホワイトリストによる対策が一般的に推奨される。ただ、資産管理が徹底されていなければ「何が正しいホワイトリストなのか」が把握できない状況が生まれるのだ。

 「セキュリティ対策を想定した管理が不十分な状況は、どこの工場でもよくある話です。生産現場のPCがウイルスに感染していた状況も時折聞きます。その意味では、資産管理や構成管理がセキュリティ対策の大前提となることは間違いなく、棚卸しが現場での最初の一歩です」と黒田氏は述べている。

小さく生んで大きく育てるセキュリティに

 これらのセキュリティへの取り組みは順番に高めていくものだ。先述した通り、いきなり完璧なセキュリティ対策を実現するのは現実的ではない。黒田氏は「全体を見据えて、小さく始めて、大きく育てる考え方が重要になります。最初はセキュリティを確保できる環境から限定的に開始し、環境が確保できるようになれば徐々に拡大していくのがポイントです」と考え方を述べている。

 さらに、こうした対策を現実的に進めていくためには、製造現場だけでは無理だ。まずはOA環境のセキュリティ運用で経験を積んだ自社内のIT部門との協力体制を構築することは避けられない。

 「スマートファクトリー化を進めると、必然的にERP(Enterprise Resources Planning)システムなど、企業の基幹システムとつなげていくことが求められます。これらのシステムは一般的にIT部門が管理しています。セキュリティ対策にかかわらず、製造現場とIT部門が協力してスマートファクトリーを作り上げなければなりません」と黒田氏は述べている。

 しかし、スマートファクトリー化を進める中で、技術的にIT部門のリソースだけでは対応できない場合は、それを補完するパートナーの活用も合理的な判断だといえる。また、同じ企業内でも製造現場とIT部門との論点の整理が難しい場合なども多く、そこをうまくかみ合わせるためにパートナーに整理してもらうような使い方もあり得る。

 ネットワンシステムズでは、スマートファクトリー向けの「IIoTセキュリティソリューション」として、「ゾーニング設計・構築」や「iDMZ(産業用非武装地帯)設計・構築」「NOS-BOX(Network Optimized Security-BOX)」などの豊富なソリューション群を展開。スマートファクトリーに向け、具体的なセキュリティ対策を実現するシステム構築を進めている。

 さらに、「IIoT-MSS(FW監視・運用)」「IIoT-MDR(不正端末の検知・隔離)」「セキュリティオペレーションセンター」なども用意しており、現場の利用部門やIT部門がサイバー攻撃の脅威を監視しなくても、代わりに運用を行うサービスを提供する。

photo ネットワンシステムズが展開するIIoTソリューションズ(クリックで拡大)出典:ネットワンシステムズ

 黒田氏は「技術的なサポートはもちろんですが、実際に製造部門、IT部門とが協力する必要があるにもかかわらず、それぞれの言葉が異なり、また重要とする指標なども異なっていることから、話がかみ合わないことも多くあります。間に立って論点を整理するような役割を果たすことも実際に多くあります」と説明する。

 スマートファクトリー化に必須となるサイバーセキュリティ対策の立ち上げは難しい。工場セキュリティに悩みを抱えているのであれば、数々の工場で豊富なネットワーク構築実績を積み重ね、技術的な支援はもちろん、組織の間を取り持つことができるネットワンシステムズに相談してみるのはいかがだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ネットワンシステムズ株式会社
アイティメディア営業企画/制作:MONOist 編集部/掲載内容有効期限:2018年8月17日