扇氏　情報処理推進機構（IPA）が公開する「サイバーセキュリティ経営ガイドラインVer2.0 実践のためのプラクティス集」が参考になる。セキュリティ担当者の実際の取り組みをまとめた資料集だ。例えばIoT機器の「シャドーIT化」を取り上げた章では、シャドーIT化問題の解決に向けて担当者が取り組んだ事柄が記載されている。情報システム部門と工場生産部門の体制面での未整備が原因だったようだが、こうしたトラブルが生じ得るということを事前に知っておけるのは便利だ。

　また社内でのセキュリティ推進の方法に悩む人は多いが、まずは社内でセキュリティの重要性をしっかり認知してもらうことが重要だ。そこで役立つのが日本ネットワークセキュリティ協会（JNSA）が公開している「MY CISO ハンドブック」である。「経営者にはインシデントの発生回数などを定期的に報告しておくべき」といった指針をIT部門向けに記載している。

　経営層の理解を得るという点では、同じくセキュリティの基礎的な知識などを問う「セキュリティの理解度チェック」テストを定期的に社内で実施することも大切だ。社内だけでなく他社や役職内、部署間で結果を比較できるセキュリティテストをサービスとして提供する企業もある。セキュリティ意識を社内に根付かせる「セキュリティ教育」を実践する上で、競争を導入するのは1つの有力な手法となり得る。教育環境がなければ、セキュリティ対策への意識は社内に広がらないだろう。

MONOist　今後、製造業のサイバーセキュリティ対策はどのように進むでしょうか。

扇氏　まずは工場のIoT化を軸としたネットワークセキュリティ対策が進むと予測している。現時点ではティア1サプライヤーなどで取り組みが先行しているが、今後はティア2でも同様に進む。また、現在はIoT機器に個別にシステムベンダーがセキュリティパッチを当てているという状況だが、いずれは製造業者がクラウドプラットフォーム上から自社に最適なセキュリティパッチを直接選択して、各IoT機器に導入するようになる。

　ただ、そうなるとマルウェア対策が必要なセキュリティ上の弱点が増加することにもつながりかねない。そこで将来的にはデバイス証明書をIoT機器に直接組み込んで、不正アクセスを防止する仕組みを構築することになると考えている。攻撃者の侵入口を全てふさぐのではなく、IoT機器に自ら身を守る仕組みを導入するという発想だ。IoT機器のファームウェアに暗号化の仕組みや改ざんを防止するためのセキュリティ対策を入れ込むことは必須になると思う。

≫特集サイト「制御システムセキュリティ」
IoTデバイスのワンストップ開発ソリューションを提供開始
日立ソリューションズ・テクノロジーは、IoTデバイスの仕様提案から開発保守までワンストップで対応し、高品質で低コストのエッジコンピューティングを可能にする「IoTデバイス開発ソリューション」の提供を開始した。
車載ソフトモデルベース開発のテスト工程を効率化するソリューション
日立ソリューションズは、MATLAB/Simulinkを用いて車載ソフトウェアのモデルベースを開発する際の、テスト工程を効率化する「モデルベース開発ソリューション」を発表した。HILS環境での実機テストを、SILS環境で安価に実施できるようになる。
工場を襲うサイバー攻撃の大半は“流れ弾”、トレンドマイクロが“おとり”調査
トレンドマイクロは2020年3月13日、2019年に5～12月にかけて実施した「工場向けサイバー攻撃おとり調査」の結果についてメディア向けに発表した。本稿では、その内容を紹介する。
パナソニックのIoTセキュリティ、AIとSOCで自動車も工場もビルも守る
パナソニックは同社のIoTセキュリティへの取り組みについて説明。自動車、工場、ビルシステム向けを中心に、AI（人工知能）とSOC（セキュリティオペレーションセンター）を活用したIoTセキュリティシステムの開発に取り組んでおり、各カンパニーとの連携によるIoTセキュリティソリューションを社外に展開することも想定している。
PLCが人質に取られて脅迫される時代へ、IoTがもたらす産業機器の危機
JPCERT コーディネーションセンターと経済産業省は「制御システムセキュリティカンファレンス」を開催。高度化が進む、制御システムへの攻撃の事例を紹介した。