ITから見た工場のセキュリティ課題と解決策(第1回)ITとOTのシステムの目的
本稿は、IT部門が工場のサイバーセキュリティを任された際に直面する課題を整理し、解決に向けて進んでいくためのアプローチを解説する連載です。第1回は、ITとOTの間で様々な違いや障壁を生む根本と言えるシステムの目的に着目して考察します。
サイバーセキュリティの世界で、スマート工場、IIoT、Industry 4.0といったキーワードの露出が増しています。製造業を取り巻く事業環境は激変し過渡期を迎えており、いまや経営計画にDX(デジタルトランスフォーメーション)やIoTを掲げていない企業を探す方が難しいかもしれません。サイバーセキュリティをITの領域のみならず、OTを包含する必要性が求められる中、従前のITセキュリティを主管してきた部門が、これまでの実績から手腕を買われ、工場をはじめとするOT領域のセキュリティの責務を任されるケースを目にすることが増えてきました。システム、ネットワークという単語は同じであっても、ITの世界で生きてきた側から見たOTは全く別の世界に見えます。本連載では、IT部門が工場のサイバーセキュリティを任された際に直面する課題を整理し、解決に向けて一歩一歩進んでいくためのアプローチを解説します。
第1回は、ITとOTの間で様々な違いや障壁を生む根本と言えるシステムの目的に着目して考察します。
まず押さえるべきは、システムの目的の違い
工場のセキュリティに対して、IT部門では「そもそもシステムの棚卸しがない」「稼働優先でセキュリティをないがしろにしている」という印象があります。対して、工場の現場ではIT部門あるいは本社のセキュリティポリシーに対して「画一的にセキュリティパッチを適用しろと言われても止められないシステムがある」「端末にセキュリティソフトを入れろと言われても、システムを変更できない」といった声が聞かれます。なぜ、このようなギャップが生じ、解決が難しいのか、システムの目的に立ち戻ってみます。
まず製造業における各システムの対象として、ITは「情報およびその処理」、OTは「物理的なモノの生産」になります。ITのシステムは情報およびその処理をデジタルに置き換える技術、あるいは知的生産活動の支援と言えるでしょう。一方のOTはシステムの稼働によるモノの生産技術そのものです。
サイバーセキュリティは、システムが目的を果たす上で、阻害する要因のひとつであるサイバーの脅威に対して、策を講じるものになります。ITであれ、OTであれ、システムの目的から守るべきものは何かを考える必要があります。
ミッションクリティカルな業務のIT化これからの工場におけるOTシステムがどのような役割を担い、そのためにどのようなサイバーセキュリティが求められるのかを考察する前に、従来のITシステムと事業における役割を改めて整理します。ミッションクリティカルの度合いと社内向け、社外向けで分類すると、「基幹系」「商用系」「情報系」「管理業務系」「Web系」で大別されます。
ミッションクリティカルに類する基幹業務、あるいは顧客に向けた商用サービスの提供においてITシステムが大きな役割を担うにつれITおよびサイバーセキュリティに対する投資も大きくなるでしょう。一般に、業種別に見たIT投資は金融や情報サービスが大きいと言われています。JUASの「企業IT動向調査報告書2019」※1においても売上高に占めるIT予算比率は、金融業は全体平均の3倍弱、サービス業は約1.5倍となっています。IT予算に占めるセキュリティ投資は10%前後が目安と言われており、業種による差異よりも個々の企業の方針によるばらつきが多いとみられます。セキュリティ対策の包括度合いを測る指標として、トレンドマイクロが実施した「法人組織におけるセキュリティ実態調査2019年度版」においても、業種別のスコアで金融が1位、情報サービスが2位と相対的に高い結果となっています。
ITの世界でのサイバー攻撃は、情報を対象としたものであり、情報処理のプロセスとその結果に影響を及ぼします。企業の主たる事業活動や生産物がデジタルである業種は、情報セキュリティの原則であるCIA(Confidentiality:機密性、Integrity:完全性、Availability:可用性)の観点で他と比べて相対的に高いレベルが求められてきた結果と言えるでしょう。一方で、製造業はじめ、医療や福祉・介護といったスコアが相対的に低い業種においては、今後、各業種のミッションクリティカルな業務のIT化が進む中で同時にセキュリティレベルを高めていく必要があります。
※1 一般社団法人日本情報システム・ユーザー協会「企業IT動向調査報告書2019」2019年4月
※2 トレンドマイクロ「法人組織におけるセキュリティ実態調査2019年度版」2019年10月
OTシステムの目的と求められる要件工場の生産プロセスは、設計から始まり、部材を調達し、在庫を管理し、生産・検査し、求める場所に流通することに他なりません。プロセス全体を見る生産管理のシステムは情報を扱うのでITの領域ですが、物理的なモノを扱うプロセスはOTのシステムとして稼働しています。
OTシステムの要件は、一般に、「安全」、「稼働」、「品質」と言われています。生産現場における製造・加工のプロセスでは、日常生活では接することの少ない、身体への危険性を伴う重機や化学物質を扱うことが常です。まず安全面でシステムの誤作動やオペレーションのミスによる事故、労働災害によって従業員が脅かされることを避けなければなりません。稼働の面から製品を供給するプロセスとして見ると、これが遅延すれば顧客の納期に影響を与え、事業の売上に直結しますし、生産に要する時間はコストにみなされます。品質面では、不良品はそのまま無駄となり、過剰な検査工程もコストになるでしょう。
ところで、工場現場のイメージとして「安全第一」と記されたヘルメットを想起される方は多いと思いますが、「安全第一」だとしたら第二は何でしょうか。実は下の句があるとされています。「安全第一、品質第二、生産第三」がフルセンテンスであり、いわば、業務の重要目標である「品質」や「生産」のためにすら「安全」を犠牲にしてはいけないというメッセージなのです。安全性と生産性は元来、背反する要素とも言えます。より安全な手順を踏めば踏むほど、手間も時間も増えていきます。
IoTによるスマート工場は、安全、稼働、品質を担保しつつ、生産性を高めることが期待されていると共に、生産プロセスだけでなく、スマート工場が事業全体のバリューチェーンを支える不可欠な要素となり、企業が環境変化への適応力を高め、ビジネスを成長させるドライバーとしての期待が高まっています。
ITとOTの対立ではなく事業全体の視点でのセキュリティの検討をこのように考えると、ITとOTの対立軸ではなく、より高次の目的からスマート工場のシステムとセキュリティを見るべきではないでしょうか。経営のレベルでDXやIoTによっていつまでに何をどこまで達成するかの事業計画に基づき、スマート工場として期待される「情報による効率化」や「情報による付加価値」を実現するためのシステム計画がなされます。その情報とプロセスを守るためのセキュリティを定義する必要があります。スマート工場のセキュリティには、元来の「安全」「稼働」「品質」を維持し効率化することのみならず、従前のITの領域を含め事業活動を止めないこと、成長機会を逃さないことが要件となるでしょう。
本稿では、IT部門が工場のセキュリティに着手する前に、改めて理解しておきたいOTシステムのミッションについて取り上げました。対策方法を検討する前に、システムの目的の違いを認識し、より上位の目的を社内で共通理解することが、スタートラインに立つためのポイントになると考えます。
第2回は、IT部門が工場セキュリティを取り組み始めた際に最初に直面する課題を、People(人、組織)、Process(業務、オペレーション)、Technology(技術、システム)のそれぞれの観点から分析し、解決に向けた糸口を考察します。
連載記事:
ITから見た工場のセキュリティ課題と解決策(第2回)組織とプロセスとシステム
ITから見た工場のセキュリティ課題と解決策(第3回)安定稼働のための実践アプローチ