住友ゴムが工場をサイバー攻撃から守るために取り組んだこと:工場セキュリティ
スマート工場化など、工場内でデジタル技術を活用する動きが活発化している。その中で、同時に高まっているのがサイバー攻撃のリスクである。しかし、工場では従来セキュリティは無縁のもので、各工場が対策に苦慮しているのが現状だ。こうした中で、工場セキュリティへの取り組みを開始した住友ゴム工業の取り組みを紹介する。
人手不足やコロナ禍への対応などを通じて製造業では自動化領域の拡大を目指し、スマート工場化への取り組みが加速している。IoT(モノのインターネット)やAI(人工知能)など、先進のデジタル技術を活用し「データ」を基軸に工場運用の抜本的な効率化が期待されるスマート工場化だが、同時に高まっているのがサイバー攻撃のリスクである。
従来の工場ネットワークは、工場外との接続を行わない閉鎖環境であることが多かったため、サイバーセキュリティ対策はほとんど採られていなかった。しかし、スマート工場化により外部ネットワークとの接続が必須となる中で、無防備な環境が外部にさらされるようになり、工場へのサイバー攻撃は急増している。実際にサイバー攻撃による工場停止の報道なども増えており、これらへの対応が待ったなしの状況となっている。
しかし、生産性や可用性を重視する工場側と、従来オフィスを対象としてきたITセキュリティ技術では、かみ合わない場面も多く、現実的にはなかなか工場などを含むOT(制御技術)セキュリティは浸透が進んでいない状況だ。また、取り組もうと考えても工場の運用に合う形で導入が難しく、頭を悩ますケースも多い。こうした中で、あらためてOTセキュリティへの取り組みに本格的に乗り出したのが、住友ゴム工業だ。住友ゴム工業はどのようなきっかけ、どのような形で取り組みを進めているのだろうか。同社の取り組みを紹介する。
住友ゴム工業が抱えていた課題感
住友ゴム工業の主力事業であるタイヤ事業。ダンロップとファルケンをメインブランドとして展開 出典:住友ゴム工業住友ゴム工業は1909年創業の大手タイヤメーカーだ。タイヤ事業の他に、テニスラケットやゴルフクラブなどのスポーツ事業、建築物用の制振材や医療用精密ゴムなどの産業品事業を展開している。2020年12月期の売上収益は7908億円で、9割近くを占めるタイヤ事業では、国内に白河工場(福島県白河市)、名古屋工場(愛知県豊田市)、泉大津工場(大阪府泉大津市)、宮崎工場(宮崎県都城市)の4工場を保有する。また、海外では中国に2工場、インドネシア、タイ、ブラジル、南アフリカ、トルコ、米国に各1工場の合計8工場を展開している。
住友ゴム工業 デジタル企画部 課長の松本修平氏タイヤ事業を主力としている住友ゴム工業だが、製造拠点のセキュリティ対策に本腰を入れ始めたのは2018年末からだった。それまでは多くの製造業と同様「OTセキュリティへの関心は、それほど高いものではなかった」と、住友ゴム工業 デジタル企画部 課長の松本修平氏は当時を振り返る。
しかし、日本国内でも自動車メーカーを含め製造業のセキュリティインシデントの報道が増えてきた他、大きな被害が出なかったもののアジアの海外拠点でのセキュリティインシデントの報告もあり、社内での危機感も高まってきたという。「それまではOTインシデントをどうしても対岸の火事と捉えがちでした。しかし、われわれの関連業界でもセキュリティインシデントの話題が増えてきたことで、製造現場にも緊張感が出てきました。こうした流れを受けて、従来はITのセキュリティ対策を中心に進めていましたが、OTセキュリティも必要だというコンセンサスが企業全体で生まれてきました」と松本氏は語る。
さらに、自動車産業の国際的な品質マネジメントシステム規格であるIATF16949に「サイバーセキュリティ」が追加されたことも、潮目が変わるきっかけになった。住友ゴム工業のシステム子会社であるSRIシステムズ 技術推進部 部長の石田隆之氏は「それまでセキュリティについてはIT部門側が考えることだと捉えられ、製造現場ではあまり意識が向けられてこなかったのですが、品質に関する規格にサイバーセキュリティへの取り組みが明文化されたことで、製造現場の各部門の意識も変化したと感じています」と述べている。
工場セキュリティで重要な「人」の問題
住友ゴム工業では、2017年4月にタイヤ生産本部内に設立した製造IoT推進室を中心に、AIやIoTを活用したプラットフォームにより、高品質かつ高効率なタイヤ生産を実現するシステムのグローバル構築に取り組んでいる。こうした流れの中で、セキュリティについては2019年度の目標として2018年末に製造拠点のセキュリティ対策の推進を決めた。具体的には、OAとFAのネットワークを分離させるなどウイルス感染の被害拡大を防ぐ環境を整備した。しかし、このようなハード面の対策を進めていくうちに「人」を教育する大切さが見えてきたという。
「環境の整備についてはIT側が設計して機器などを導入すれば済む話ですが、やはり人の意識が変わらないとそれ以上は進まず、定着もしません。技術的な対策を進めると同時に、工場がサイバー攻撃を受けたときの初動訓練など現場の従業員に対する教育も行う必要があると感じました」(松本氏)。
そのため、住友ゴム工業はサイバー攻撃に対する訓練プログラムなどを探し始めた。その中で所属している日本シーサート協議会のグループ内で相談を持ちかけたところ、同じくグループのメンバーだったグローバルセキュリティエキスパート(以下、GSX)が希望に近いプログラムの用意を検討していたため、協力して教育プログラムを推進することに決めたという。
リスクアセスメントからガイドラインを作成、そして訓練を実施
住友ゴム工業では最初に工場へのサイバー攻撃に関するリスクアセスメントを実施し、その後、2020年春から3〜4カ月かけて、現状の工場内のシステム構成やデバイスの管理状況、マニュアルの有無などを調査し、OTセキュリティガイドラインの作成を行った。また、工場の安定稼働を脅かす外的脅威に対するセキュリティ対応を専門とする組織「FSIRT(Factory SIRT)」も組織した。GSXは、このOTセキュリティガイドラインの作成を支援しつつ、このガイドラインをベースにFSIRTにおける訓練を実施した。
GSX コンサルティング事業本部 コンサルティング事業部 シニアコンサルタントの藏谷なほみ氏当初、FSIRT訓練は2020年中に国内4つの工場で行う予定だったが、新型コロナウイルス感染症(COVID-19)拡大の影響で、白河工場と名古屋工場を対象にリモートで実施することになった。訓練をファシリテートしたGSX コンサルティング事業本部 コンサルティング事業部 シニアコンサルタントの藏谷なほみ氏は「マルウェア感染とデータ改ざんという訓練のシナリオを用意し、それぞれディスカッションしながら手順を確認していきました。どちらの工場も、IT部門と工場部門を混成した10人に参加していただきました。立場の異なる部門でチームを構成することにより、視点の異なる考えに触れながら、参加者が気付きを得た機会になったと考えています」と振り返る。
SRIシステムズ 技術推進部 部長の石田隆之氏具体的な成果についてはこれからだが、訓練の終了後にはさまざまな手応えを感じたという。「これまでは設備を管理するPCの稼働がおかしくなった場合、現場では単純に『機械が壊れた』という捉えられ方が多かったように感じています。しかし、今回の訓練によりコンピュータウイルスやサイバー攻撃でも設備や機械が止まる場合があるということが、具体的な体験として、浸透したと感じています。最近のウイルスやサイバー攻撃は横展開するタイプも多いので、汚染されたPCへの適切な対処ができることにより全体への汚染リスクが軽減されるメリットもあると考えています」と石田氏は述べている。
また「訓練の前には、自社のネットワークが毎日どれだけの脅威にさらされているかを数字で参加者に公開しその数の多さに驚く一幕もありました。このような機会を設けることで、セキュリティへの意識が少しずつ変わっていくように感じます。また、普段は交流する機会の少ないIT系のメンバーと設備系のメンバーが触れ合う機会を持てたことも、今後の社内コミュニケーションにおける大きな収穫でした」と松本氏は組織的な面での利点を訴えている。
「サイバーセキュリティ教育カンパニー」を目指すGSX
今回、住友ゴム工業にOTセキュリティについての教育プログラムを提供したGSXは「サイバーセキュリティ教育カンパニー」を掲げ、企業向けのコンサルティングや脆弱(ぜいじゃく)性診断、メール訓練、またホワイトハッカー育成の教育講座などの幅広い支援を提供する企業である。同社の理念について、GSX 営業本部 副本部長 兼 戦略室 室長の中村貴之氏は「日本の情報セキュリティレベルを向上させるべく各企業の自衛力向上を目的にサービスを提供しております。将来的には日本企業が進出するアジア拠点も含めアジア全体のセキュリティリテラシー向上を視野にグローバルでの取り組みを進めていく方針です」と述べている。
GSX 営業本部 副本部長 兼 戦略室 室長の中村貴之氏そのためGSXでは企業への支援を通じて、自社のノウハウを相手企業に提供し、自社内でセキュリティ対策を自律的に行えるように伴走することが特徴だ。「各企業が知識を蓄え、自衛できるようになることが望ましいです。OTセキュリティに関しても、同様の考えでサービスをご提供しています」と中村氏は強調する。
GSXではOTセキュリティの位置付けとして「企業のデジタル化を成功させ生産活動を止めないために必須の取り組み」だと位置付けている。制御システムセキュリティ基準であるIEC62443やNIST SP800-171、NISTサイバーセキュリティフレームワークをベースにし、更に案件で得た知見を加えた独自のOTセキュリティフレームワークを保有し、それを基にコンサルティングから教育、訓練、セキュリティ製品の導入などを進めている。
具体的な進め方については、住友ゴム工業での取り組みと同様に、まず工場の現状調査をした上で、OTセキュリティガイドラインを作成する。このガイドラインを基にOTネットワークの改修やOTセキュリティの製品導入などを進める。ガイドラインと一口に言っても、個々の企業の現実に即したカスタマイズが必要で、作成時は企業との綿密な対話が重要となる。
「工場を含むOT領域では、各企業、各工場で環境が大きく異なります。またこうした要素が企業としての競争力につながっているケースがあり、これらの要因を踏まえた上でガイドラインを構築する必要があります。ガチガチなガイドラインは生産に影響を与えるケースもあります。それでは本来の目的を果たしません。コンサルタントが顧客の現状やニーズをしっかり捉え、最適な形のセキュリティガイドラインを作り上げます」と中村氏は説明する。
一方で作成したガイドラインも、その後きちんと運用されなければ意味がない。GSXでは、作成したガイドラインが現場できちんと運用できているかをチェックシートなどを用いて検証する管理支援や、工場従業員向けにOTセキュリティのリテラシーを高める教育、セキュリティインシデントが起きた際に対応できるFSIRT構築支援など、フォロー体制も整えている。「われわれのメニューはIATF16949にも対応しています。これらが評価を得て、現在は自動車業界からの引き合いが非常に強くなっています」と中村氏は語っている。
継続的なOTセキュリティ支援の必要性
さて、住友ゴム工業ではFSIRT訓練後はどのようにOTセキュリティを高めていく計画なのだろうか。当然ながら、OTセキュリティは一過性のものではなく、継続してこそ意味がある。住友ゴム工業では今後もGSXと共同したFSIRT訓練の継続や、他工場への展開などを予定しているという。「当初は今回GSXと共同で取り組んだ教育や訓練については、社内で進められる体制を作り、これらを継続的に自社内で回す仕組みを計画していましたが、進めていて難しい部分があることも見えてきました。しばらくは体制作りをGSXと共同で進めていくことを考えています」と石田氏は今後の展望について語っている。
また、中村氏は「われわれは現実的で実効性のあるものの提供を目指しており、確実に成果を生み出せるように顧客企業と継続的に取り組みを進めていけることが強みだと考えています。また、DXの流れやIoTを使ったクラウド上でのデータ分析、更にリモート接続のニーズの増加などにより、OT環境においてもITセキュリティが今まで以上に関連し合う流れになっていきますが、われわれはITからOTまで幅広いカバー領域を持つため、こうした新しい動きにも対応できると考えています」と語っている。
工場のスマート化に当たり、OTセキュリティは喫緊の課題だ。そのためには機器の対策やシステム面での問題などに加え、製造の社員教育という「人」に焦点を当てた取り組みが何よりも重要だといえる。その際に、自社の知見だけで立ち行かないようであれば、外部のプロ集団の協力を得た方が効率的に進むこともある。住友ゴム工業の取り組みではGSXというパートナーを得たことで、社内に新たな化学反応が生まれている。工場のスマート化では、広範な技術範囲が必要になることから、パートナーシップの重要性が訴えられているが、セキュリティに関しても自社だけで難しい場合はGSXのようなパートナーに頼ることは正解への近道だといえるかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:グローバルセキュリティエキスパート株式会社
アイティメディア営業企画/制作:MONOist 編集部/掲載内容有効期限:2021年4月15日
ITmediaはアイティメディア株式会社の登録商標です。