サプライチェーンの断絶から考えるスマート工場のセキュリティ ― 第1回:グローバルサプライチェーンの再構築
サプライチェーンセキュリティは、従前は情報管理のガバナンスや監査の面で注目されることが多かったテーマですが、パンデミックが世界の製造業に突き付けている課題は持続可能なサプライチェーンの再構築であり、デジタル化されるプロセスにサイバーセキュリティが不可欠な要素となっています。本連載ではサプライチェーンにおける様々なセキュリティ課題の中から工場のスマート化にフォーカスして解説します。
関連リンク:サイバー・イニシアチブ東京2020 当社セッション
「サプライチェーンセキュリティリスクに備えよ」
開催レポートはこちら
※本記事は上記セッションの解説記事ではございません。
サプライチェーンのセキュリティは、従前は関連会社や協力会社における情報管理のガバナンスや監査の面で注目されることが多かったテーマですが、目下のパンデミックが世界の製造業に突き付けている課題は持続可能なサプライチェーンの再構築であり、デジタル化されるプロセスにサイバーセキュリティが不可欠な要素となっています。本連載ではサプライチェーンにおける様々なセキュリティ課題の中から工場のスマート化にフォーカスして解説します。
パンデミックとサプライチェーン
WHO(World Health Organization)が史上2度目のパンデミックとしてCOVID-19を認識して半年が経過しました。その間、COVID-19は人々の行動様式を強制的に変化させ、市場の需要と供給に急激な変化を迫っています。
行動様式のキーワードは「非接触」であり、人間の移動は政府あるいは自主的な規制により、限定されています。
製造業、非製造業の購買担当者へのアンケートを通じた調査で景況感を示す指数として金融情報調査会社IHS Markitが公開しているGlobal PMI (Purchasing Managers' Index)レポートによれば、接触や移動が伴うスポーツや観光、飲食業で大きなマイナスが継続しています。自動車や電機部品、衣料品の製造はポジティブな回復を示していますが、4-5月のグローバルサプライチェーンの寸断は大きな混乱を招きました。この時期に私たちの生活は様々な産業の上で成り立っていることを実感した方も少なくないでしょう。各国政府はパンデミックからの復興と持続可能な社会経済モデルへの移行を推進するため、大規模な財政支出や減税措置を盛り込んだ予算方針を示し始めています。(例:オーストラリア、フランス)その中には製造業における生産の国内回帰や工場施設及び人材を対象にしたデジタルトランスフォーメーションを含んでおり、サプライチェーンのリスクは一企業だけではなく国家のリスクでもあることを意味しています。
現在のグローバルサプライチェーンの成り立ちには地域の雇用や関税といった社会的、政治的要因の影響もありますが、主には労働力や需要の近くで生産するといった経済合理性を突き詰めた結果として偏りが出ていたことが問題視されていました。近年、地政学的なリスクや自然災害のリスクが顕在化する中でサプライチェーンと事業の継続性における課題感は高まっており、今回のパンデミックがクライシスを招きました。
パンデミックが問題を顕在化させる契機とはなったものの、製造業がサプライチェーンにおいて解決しなければならない課題はCOVID-19にかかわらず企業の存続を左右する深く大きなものです。サイバーセキュリティの観点から地政学的な課題として、製品を供給する相手にどの国で製造されたのか、またそのプロセスにおいて機密性を保持できているかを証明することが求められてきており、民間企業が経済安全保障と呼ばれる国家間の問題とも立ち向かわなければならない時代となってきています。
当社のようなセキュリティパートナーとしても各地域および国の方針やその地域におけるプレイヤーをより深く理解すると共に、サプライチェーンの調達、製造、保管、物流、販売の各領域のセキュリティを支えるツールやサービスの提供元として新しい基準の中で信頼を積み重ねていくことが求められます。
サプライチェーンの中で、製造のプロセスを継続するという点に注目すると、地域のバランスをとると共に、分散・冗長化して緊急時と平時を使い分けられるような体制を構築する方向で進んでいくと考えられます。そのためにスマート工場に寄せる期待としては以下の2点が挙げられます。
●生産地域の分散と遠隔での操業
●急な需給変動に対応できる柔軟性
スマート工場がコアであるドイツ発祥のIndustry4.0のコンセプトを振り返ると、その一つは「サプライチェーンにおけるプロセスのデジタル化」です。大規模なスマート工場の構築と成功は、各国で政府のプロジェクトとしても注目を浴びることになるでしょう。
この連載では、ビジネス職においてもテクニカル職においてもスマート工場のプロジェクトに関わる人が広がる中で、スマート工場のサイバーセキュリティについてネットワーク設計(モノ)、業務のリモート化(ヒト)、設備投資(カネ)の観点で解説します。
スマート工場の新設とサイバーセキュリティ
スマート工場の新設時には、システム全体を支えるネットワークの設計段階でセキュリティを組み入れることが重要です。工場内の制御システム(ICS)のセキュリティについては国際規格としてIEC62443(Security for industrial automation and control systems)が定められていますが、これは、ユーザ企業、システムインテグレータ、ベンダーに各々果たすべき責務があり、ポリシー、組織、システム設計、運用、コンポーネント開発まで、セキュリティを組み入れたエコシステムの構築を目指しているものです。企業間、工場間をつなぐことでダイナミックなサプライチェーンを構築するスマート工場においてサイバーセキュリティは不可欠な要素とされています。
工場内のネットワーク設計においては資産をゾーン(領域)で分けコンジット(導管)で接続するというのが基本のコンセプトになります。セキュリティ要件が同一の資産をグルーピングするということですが、設計段階でこの思想を取り入れることが肝心です。セキュリティの観点でゾーンを区切りたいが、物理的な境界がないとゾーン化しようがないということがよく聞かれます。
規格の中ではまず安全に関連するシステムをゾーン化することが推奨されます。特に注意したいのは、安全計装システム、無線システム、インターネットエンドポイントに直接接続しているシステム、モバイルデバイス、などで現場の安全を目的に運用されているシステムです。施設の物理的なエリアは、大きくは運用の観点で分けられますが(資材の保管、処理、仕上げ)、その上で機能別に細分化できるでしょう。モーターを駆動させる電気系制御システム(PLC)、センサーや流体制御する計装系制御システム(DCS)は要件が異なります。また、冗長構成をとっている場合には、主系統と副系統でゾーンを分けるケースもあります。工場のネットワーク全体を機能のレイヤー別にゾーニングするには、Purdue Enterprise Reference Architecture(PERA)モデルが汎用的です。
トレンドマイクロでは、PERAモデルを参照し、新設の工場と既存の工場の場合に分けて、レイヤーごとにリスクに応じた緩和策をとるためのベストプラクティスを公開しています。
詳細を知りたい場合には、下記を参照ください。
資料ダウンロード:スマートファクトリーを継続的に稼働させるための3つのステップ
次回は、スマート工場の「リモート」をキーワードにセキュリティを考察します。