サプライチェーンの断絶から考えるスマート工場のセキュリティ ― 第3回:CAPEXとOPEX
COVID-19によるパンデミックは、製造業のサプライチェーンの不確実性を象徴する例となっています。いまだ先行きが不透明な中では積極的な投資には踏み切りにくいと考える企業が多いでしょう。
関連リンク:サイバー・イニシアチブ東京2020 当社セッション
「サプライチェーンセキュリティリスクに備えよ」
開催レポートはこちら
※本記事は上記セッションの解説記事ではございません。
不確実性の時代という言葉がビジネスの世界で市民権を得て久しいですが、COVID-19によるパンデミックは、製造業のサプライチェーンの不確実性を象徴する例となっています。いまだ先行きが不透明な中では積極的な投資には踏み切りにくいと考える企業が多いでしょう。設備投資や研究開発への投資にはますます厳格さが求められ、2020年度に計画されていたプロジェクトを先送りされているケースも少なくありません。第1回で触れたような政府の財政出動も、戦略的な投資に消極的にならざるを得ない市場環境の裏返しとも言えます。
工場の設備投資
製造業の設備投資は長期的な戦略に基づいて計画されます。まず背景として、パンデミック以前からの製造業の設備投資の動向について、日本を例に振り返ります。2020年5月に経済産業省が発行したものづくり白書によれば、設備投資動向において「資産が生み出す利益が増加し、新規に設備投資するポテンシャルは年々高まっているものの、実際の設備投資の伸びは低調であると読み取れる」という考察があります。生産の現場は、老朽化していく設備で、新しい製品をより高い品質とより高い効率で生むための改善を続けてきた成果として利益率は向上しました。90年代のバブル崩壊からの30年間、日本の国内需要は伸び悩み、労働力を維持しながら内部留保を確保する中で、戦略的に大きな設備投資は積極的ではなかったことを示唆しています。その結果として、近年は労働力の不足と工場及び設備の老朽化が課題視されています。労働力を補うためのデジタル技術やオートメーションによる省力化、工場の統廃合を受けて、大規模なスマート工場の計画が進みつつあります。
CAPEXとOPEXという考え方
工場の支出は、土地や建物、装置といった設備投資と保守・修繕費、光熱費、人件費といった運用費に分けられます。前者はCAPEX(Capital Expenditure)、後者はOPEX(Operating Expenditure)とも呼ばれます。CAPEXはキャッシュフローの面でイニシャルの支出となります。一方、損益計算書では減価償却分が毎年支出として計上されますがキャッシュとしては支出されません。工場の建設・運営においては、設備投資と運用費、キャッシュフローの双方の面から単年度の生産と費用だけでなく工場の長期的なライフサイクルの観点でも財務的な計画がなされています。
ITの世界では、有形固定資産であるハードウェアから無形固定資産であるソフトウェア、そして運用費であるクラウド・サービスへのシフトが進んできました。財務面でも、より短い期間で償却でき変化に適応しやすくすると同時に、技術の進歩が目覚ましい世界で陳腐化の影響を低減する狙いもあります。これらはスマート工場のOT領域でも同様の流れが生じると考えられます。CAPEXからOPEXへの転換は、スマート工場を成功に導く一つのキーとなるでしょう。
サイバーセキュリティの観点でCAPEXからOPEXにシフトする
ハードウェア、ソフトウェア資産のクラウド・サービスへのシフトは、変化する需給に合わせて柔軟に生産を行うために有効な一つの手段ですが、サイバーセキュリティの面では、過剰な資産を持たない、技術の陳腐化を避ける、クラウド事業者と責任を共有できるといった点も利点になります。サイバーセキュリティのリスクは脅威と脆弱性のかけ合わせであるとされますが、脆弱性を修正できないレガシー資産を減らした上で、保有する資産を把握し脆弱性に対応する面でも有利です。
一方で、工場内の業務でクラウド利用が進む中で顕在化する脅威もあります。スマート工場のサイバーの脅威についてトレンドマイクロがミラノ工科大学と共同研究したリサーチによれば、EWS(Engineering WorkStation)がクラウドのライブラリから悪意のコードの侵入を許しIoTセンサーのデータの書き換えを起こす攻撃や、MES(Manufacturing Execution System)がデータベースの侵害により加工装置に誤作動を起こさせる攻撃が実証されました。また、別のリサーチでは工場内のシステムにおいてITとOTのプロトコル変換を担うプロトコルゲートウェイに焦点を当て、ソフトウェアとしては管理されていない資産における深刻な脆弱性を複数発見しています。
すべての資産や業務がクラウド化、デジタル化される訳ではなく、システムの一部、生産プロセスの一部、サプライチェーンの一部がシフトするため、オンプレミスとクラウド、OTとITが混在したシステム環境とそれを利用する業務がサイバーセキュリティの対象になります。こうした混在環境全体でセキュリティ上の異変を察知し早期に対処することや、インシデント時に影響範囲を特定するためのビジビリティを確保することが大きな課題となるでしょう。さらにセキュリティに関わるCAPEXとOPEXの面では、既存の設備に手を加えずに追加できる緩和策や、セキュリティツールのSaaS化、マネージドサービスの利用も有効な選択肢になります。
クラウドの利用や業務プロセスの転換により、以前とは異なるセキュリティのアプローチが求められることは間違いありませんが、IT以上に個々の企業あるいは事業によって異なるOTのオペレーションがデジタルに置き換わる中では、サイバーセキュリティも画一的なモデルを当てはめるのは難しいと考えられます。様々な団体や企業が公開しているプラクティスを参照しつつも、改めて自組織における新しい業務プロセスとそれを支えるシステムを前提にした定性的なリスクアセスメントを行うことが望ましいでしょう。前述の当社のリサーチなども参照いただき、脅威のシナリオと脆弱性を特定した上で、自組織のオペレーションと資産における事業への可用性や機密性への影響度を評価することをお勧めします。検討すべき脅威のシナリオや守るべき資産に優先度をつけることで、的外れな投資や過剰な対策を回避できます。自組織に適したセキュリティ計画を立案、実装する上で、本ブログ連載でご紹介した当社の情報やソリューションが読者の皆様の一助になれば幸いです。