【特別記事】
本格的SCM参画に求められる セキュリティ対策実務能力とは(その1)
1.世界市場の変化
世界の工場といわれた中国市場が習近平氏の行う文化革命の全体共産主義指示で大変革を起こし,中国側が他国の文化を遮断するデカップリング状態を進めている。それにより,中国市場では,国有企業がもの作りを全て自給自足できることを目的とした新体制へ移行を進めている。中国内で製造できない高度技術製品の輸入を一時的に増やしているが,軍民融合戦略の中国では,民間企業の名前で購入して軍事利用している。それも自給自足できるようになれば,中国国外から購入する必要もなくなる。
中国市場での売り上げが3割,6割の企業は,中国市場以外での市場売り上げを短期間で上げないと死活問題になってくる。RCEPが2022年1月よりスタートすることに期待する人もいるようであるが,中国が台湾および尖閣諸島地域に侵攻することで,南シナ海および東シナ海の船舶の航行ができなくなると,RCEPも頓挫する可能性がある。
中国以外の市場では,EUのグローバルゲートウェイでのサプライチェーン再編成と,米国のサイバー攻撃に強いサプライチェーン再構築により,企業間連携を強くしたバリューチェーンが形成されている。また,2021年10月30日・31日のCOP20では,中国依存型のサプライチェーンから依存しないルートへの再編成,さらにサイバー攻撃強化対策を構築したサプライチェーン実現に向けて,米国ホワイトハウスがリーダとなって対策会議が行われている。それらの展開が欧米企業の工場が多く存在するインドとASEAN市場において,どのように推移していくのか注目される。当然,日本もインド太平洋圏の経済安全保障を推進していく立場にある。
一方,こうした企業連携を円滑に実現できる,垣根を超えたデータ連携をめざすGAIA-X導入推進団体も欧州先進国では立ち上がっている。さらに,そのサプライチェーンには,自動受発注システムがつながり,株式取引システムにも連携させている推進団体もある。これらのチェーンにつながっていくには,企業内DX推進による業務改革は,必要不可欠な課題となっている。(図1)
2.サプライチェーンとバリューチェーンの変化
企業内DX推進業務改革で構築していくDXシステムは,操業運営の利便性向上を目的にしたDXシステムの取り組みと,企業間連携のサプライチェーン/バリューチェーン接続を目的にしたDXシステムの取り組みの2つの面があると考えられる。
具体的には,製品開発,製品試作検証,生産・製造操業,納品後のサービスなどの事業を形成するにサプライチェーンに直接つながるラインと,そのサプライチェーンに付随したバリューチェーン情報(生産メーカ情報や生産時機,製品品質などの商品価値を裏付けする情報)を形成している。バリューチェーンは,扱う情報の特性からエンジニアリングチェーン,クオリティチェーン,サービスチェーン,セキュリティチェーンとして個別のデータセキュリティレベルで扱うこともできる。(図2)
EUで始まったサプライチェーンやバリューチェーンでのデータ取り合いは,GAIA-Xというソリューションで扱われ,その通信データの授受仕様はIDS-Connectorで,そのサイバーセキュリティ対策はOPC UAが採用されている。さらに,接続条件としてISO/IEC27001認証取得が義務付けられ,生産工場は,IEC62443認証取得も加えられてくる。また,情報提供企業が情報開示相手を特定する機密保護を目的にデータセキュリティが存在する。
GAIA-Xは,各国に任意団体を創るきっかけとなっており,自動受発注システムを組み入れた商取引から株取引までを視野に入れているものから,業界の設備供給のサプライチェーンを中心とした任意団体も生まれている。
このようなサプライチェーン再編成に適応するには,SCMに接続する企業のDXシステムとして,ERPやPLMの接続面だけでなく,これに適応した企業内の業務改革および業務スキルを上げていく必要が出てくる。これを推進していくためにも企業内の人材育成プログラムは,経営戦略レベルで準備していくことになる。(図3)
世界市場含め,サプライチェーンが置かれている状況が急変していることから,部門間連携PLMと顧客とのSCM接続まで視野に入れたDX推進業務改革を実現する必要性が戦略上追加されてきた。
このため今後展開される以下への対応が追加される。
・顧客のSCMに参加する上での顧客の自動受発注システム対応の準備
・工場内設備のSCMでのPLM管理
・生産素材や消耗品調達におけるSCMでのPLM管理
これらを可能にするDXシステムが必要になる。そのDXシステムと生産設備は,サイバー攻撃に強いこと(ISO 27001とIEC 62443認証取得)が必須条件になる。そして,これを使いこなせる人材育成が本件の追加課題となる。
さらに,生産設備から取り出すSDGs対応の情報も,納品する製品のSDGs情報も,GAIA-Xインフラで扱うことができることが求められてくる。
3.企業DXシステムの取り組み
サプライチェーンの再編成が欧米で進んでいる中,企業のDXシステムへの取り組みが重要となっている。サプライチェーンからバリューチェーンへとつないでいく企業のDXシステムでは,ERPはもちろん,生産している製品のライフサイクルをカバーする製品情報・品質情報・サービス情報などを,データセキュリティ機能を持って授受することになる。
しかも,その製品情報や品質情報は,生産現場設備から取り出したデータモデルから企業間連携で必要となる情報モデルに変換して授受することになる。(図4)
製品開発ツールも3D CAD環境でモデリング構造設計し,CAM/CAEとつながったり,またシミュレータやAR(Augmented Reality),VR(Virtual Reality),AI(Artificial Intelligence)などを使って製造現場サポートや納品後のサービスなどを実現するために,デジタルモデルデータを出力したりする機能を装備した開発ツールも次々と登場している。
これは,PDM(Product Data Management)がPLM(Product Lifecycle Management)対応機能を充実させているためで,資産管理のERP(Enterprise Resources Planning)や製造システムのMES(Manufacturing Execution System),営業システムのCRM(Customer Relationship Management)とも連携できるところまで進んでいる。
こうした状況からEUでは,SCM(Supply Chain Management)のAOS(Automatic Ordering System:自動受発注システム)につながるERPやVCS(Value Chain System)につながるPLMなど,企業のDXシステム構築が必要になってきている。(図5)
4.IEC62443の重要性
欧米のサプライチェーン再編成が進む中,生産設備の制御システムセキュリティ国際標準規格IEC62443の認証制度も,欧州のIECEE*1)と米国のISA(International Society of Automation)で認証制度が布かれている。ISAでは,今まで北米,欧州,日本に1ヵ所ずつ認証機関を設定していたが,2021年以降,14ヵ所に認証機関を設置するべく計画を進めている。(図6)
これにより,サイバーセキュリティ対策強化を課題とする企業のサプライチェーンのサイバーセキュリティが強化されていく。そして,日本の装置ベンダ,機械ベンダ,制御ベンダ,物流システムベンダとその競合となる各エリアの企業がISA/IEC62443認証を取得しやすくなってくる。
5.米国と欧州のIEC62443認証取得
米国では,NIST(N ational Institute of Standards and Technology)のSP800-××でサイバーセキュリティ対策の基準が決められており,それぞれの産業における管理基準や設備基準を決めている。米国の企業はこれに従って設備のサイバーセキュリティ対策を行っているが,その設備で採用する生産システムやコンポーネントやデバイスは,ISA/IEC62443認証のSDLA認証,SSA認証,CSA認証を取得することになる。さらに,工場の設備管理として,NISTのCybersecurity Frame Work管理手法を採用して設備の脆弱性識別情報管理を実施している。
欧州では,2021年に発行されたEUのNIS指令2によって,重要インフラを対象にしていたサイバーセキュリティ認証義務が一般産業からサプライチェーン物流システムまでを対象にすることとなった。EUでは,IECEEがIEC62443認証制度を布いており,IECEEが認定した認証機関で適合する認証を取得することになる。(図7,8)
<IEC62443認証取得工場>
IEC62443認証取得を義務化された工場は,設備の脆弱性識別情報管理を供給メーカと協力して実施しなければならない。
また,できれば以下の点を加味して,IEC62443認証設備をIEC62443認証取得した装置や機械や物流設備に置き換える計画を立てなければならない。
・IEC62443認証を取得したメーカ製品に統一したいが,今までの生産・制御ノウハウが継承できるかどうか疑問。
・できれば,従来のメーカにIEC62443認証を取得してもらって,継続していきたい。
・認証取得した従来の保全管理企業に任せたい。
そして,生産現場からMES,ERP,PDM/PLMのDXシステムおよびSCMまで,サイバーセキュリティ対策の実現へ向けて取り組むことになる。
6.IEC62443認証を取得することとは
IEC62443の基準は,設備オーナ対象,ラインビルダ対象,生産システム対象,コンポーネントおよび制御デバイス対象で,セキュリティ要件基準が異なってくる。
(1)広範囲に渡る要件基準と実務要求
認証機関は,このIEC62443認証の要求項目と認証手続きについて解説してくれる。当社ICS研究所は,IEC62443を基準とした運営を実施していく上で必要となる実務能力を持った人材育成をテーマにかかげている。
つまり,IEC62443の要求項目がわかっても,それをどう実現していくのかといった実務は,企業自らの製品ごとであったり,生産方式によって異なってくる。製品仕様の機能安全,機械安全,グループ安全,統合生産システム安全など安全一つとっても国際規格があり,ISO9001に従ってドキュメントが整備されている上で実運用をしていても,そのISO9001のドキュメントにIEC62443で要求している事項をどのように書き加えるのか,さらに実運用していくとなると実務は広範囲に渡る。
たとえば,製品セキュリティの多層防御や,生産システムの多層防御をどう実現したら良いか,以下のような製品開発関連文書から各種手順書が必要になる。
「製品開発環境管理基準書や設計基準書,設計管理基準書,設計手順書,設計検査基準書,コーディング管理基準書,脆弱性識別情報管理基準書,セキュリティ検査ツール管理基準書,各種ガイドライン文書作成基準書,製品要求仕様書,製品開発レビューチェックシート,脅威リスクモデル設計管理基準書,リスクマトリックス設計基準書,製品試験方案作成手順書,など」
さらには,製造および品質保証部門において,工程設計基準書,工程管理基準書,製作組み立て手順書,製造検査管理基準書,出荷検査ツール管理手順書などが,IEC62443のセキュリティ要件を加える対象になってくる。
一方,IEC62443認証を取得したらISO9001の更新時にIEC62443要求基準を書き加えたドキュメントの更新審査を受けることになる。つまり,製品認証の取得だけを考えていると,組織認証を取得できないどころか,組織認証取得を前提にした製品認証も取得できないことになる。
(2)IEC62443 Maturity Level準拠の実務能力検定システム
認証取得のドキュメントを用意できても,IEC62443で要求している製品セキュリティの専門知識の教育を製品開発スタッフや製品開発プロセスレビュースタッフに施さなければならない。それも,組織の実務能力のMaturity Levelに適合した教育カリキュラムでなければならない。生産システム設計エンジニアについてもMaturity Levelに適合した教育カリキュラムを実施することになる。ところが,教育カリキュラムを受けても,実務能力がIEC62443のMaturity Levelに適合しているかを評価するのはなかなか難しい。
そこで,当社では,IEC62443のMaturity Levelに準拠した人材の制御システムセキュリティ実務能力検定システムを開発し,オンライン受験をできるようにした。また,オンデマンドビデオ講座eICSを使って,IEC62443から制御システムセキュリティ対策までカバーした教育システムを開発しており,それを使って人材育成を実施することができる。また,人材育成コンサルティングにも対応している。
お気軽にお問い合わせいただきたい。
注)
*1)IECEE:IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components