【セキュリティ対策ソリューション】
工場セキュリティを推進する3段階アプローチ
1.はじめに
2022年1月6日,経済産業省主催の産業サイバーセキュリティ研究会のワーキンググループ1(制度・技術・標準化)配下に,工場サブワーキンググループ(SWG)が設置され,工場サイバーセキュリティガイドラインを2022年度中に策定し,パブリックコメントを実施することが公表された。産業サイバーセキュリティ研究会は,2019年の発足当初から,産業分野(ビル,電力,防衛産業,自動車産業,スマートホーム,宇宙産業)ごとにセキュリティガイドライン策定の取り組みを進めてきたが,このたび一般の「工場」もその対象となったのである。
ガイドライン策定の背景には,近年のDXの進展による工場の環境変化がある。具体的には,データ活用による効率化や歩留まり向上などの目的で,工場にセンサやカメラなどのIoT機器が導入されたり,クラウド上のAIと連携したりする機会が増えたことによって,工場におけるセキュリティのリスクが増大しており,実際に工場が停止するなどの事故が国内外で発生している状況である。これを受けて,自動車業界のように,一部の業界では,国際的な規制・ガイドラインの策定・順守を求める動きが強まっている*1)。
経済産業省の工場セキュリティガイドラインは,この環境変化を受けたものといえる。このガイドラインへの適合は,規制ではなく,任意ではあるものの,工場セキュリティ対策のひとつの有力な参照先となるため,調達要件に反映されたり,監査項目に追加されたりすることで,適合していない事業者は,サプライチェーンから弾き出されることも考えられる。
本稿では,より重要性を増しつつある工場セキュリティ対策を実施する上でのボトルネックを示した上で,フォーティネットが提唱する工場セキュリティ対策の「3段階アプローチ」の考え方を,提供ソリューションとともに紹介する。
2.なぜ工場セキュリティ対策が進まないのか?
工場セキュリティ対策が進まない理由はいくつもある。これまで課題とされてきたのは,「そもそも必要性を感じてない」,「担当者,責任者がいない」,「セキュリティ担当者が工場のことがわからない(仲が悪い)」,「予算がない」,「可用性を重視するため,古い端末が残りやすく,セキュリティ対策導入が難しい」,などなど,枚挙にいとまがない。しかし,近年は,DX推進と合わせて,セキュリティ対策を進めようという事業者も多くなってきており,担当者も,予算もつけて,現状把握のコンサルティングや資産・ネットワーク可視化の機器を設置する調査などが行われている。
では,順調にセキュリティ対策が進んでいるかというと,そうでもないのが実情だ。その最大のボトルネックは,「どこまで工場セキュリティ対策やったらいいかの正解がわからない」ことに尽きる。経営的な視点でいえば,ROIが明確でないのである。そうなると,コンサルティングや資産可視化などを行って課題を抽出したとしても,「できることをやろう」という結論に陥りがちである。これでは,十分なリスク低減とはならない。
では,なぜ「正解がわからない」のだろうか,担当者のスキル不足と言ってしまうのは簡単だが,実は問題はもう少し根深いものがある。それは情報システム(IT)のセキュリティ対策と比較するとわかりやすい。
どの事業者でも,たいてい,パソコン,サーバ,Web,メール,クラウドのような情報システムを扱っているが,事業者によって大きな違いがないため,基本的にはセキュリティベンダやSIも,どこに対しても同じようなセキュリティ対策を提案する。時代によって提案ソリューションは変わるものの,守るべきものの特性が同じなので,他社事例などを参考にして,自社の正解(と説明できる)対策を定めやすい。
しかし,工場はそうではない。同じ会社でも事業部によって,工場・ラインによってリスクは大きく異なる。組立ラインと大規模プラントでは,安全上のリスク,操業停止のリスクの度合いが大きく異なることは容易に想像がつくだろう。となると,ベンダの提案を技術的に理解したとしても,そのソリューションを導入することによるリスク低減の効果と,コストとの兼ね合いが「わからない」のである。
3.フォーティネットOTセキュリティアセスメントサービス
このボトルネックを解消するために,フォーティネットでは,「OTセキュリティアセスメントサービス」を提供している。要は,製造事業者が「自身の正解を出す」ためのサポートすることが目的である。本サービスは3段階に分かれている(図1)。
①「アセスメント1」(概要把握)
工場セキュリティ担当者に,簡易のヒアリングシートに回答いただき,その評価結果を提供する(無償)。
②「アセスメント2」(実態把握)
事前に関連資料(体制図,ポリシー,ネットワーク図等)の分析を行ったうえで,工場の現地ヒアリング・実機評価を行う(AsIs)。
③成果物
工場ビジネス環境やリスクを考慮したセキュリティ対策のあるべき姿(ToBe),ロードマップ,製品導入費用の概算を提示する。
このアセスメントサービスの特徴は,単に工場の現状のリスクと対策状況(AsIs)を明らかにするだけでなく,リスク評価に基づいたセキュリティ対策のあるべき姿(ToBe)を提示することにある。さらに,フォーティネットが,ネットワークセキュリティベンダであることを生かし,あるべき姿の実現ソリューション導入にかかるコストを試算することで,リスクに応じたコスト判断の材料を数値(金額)で示すことができる。
ここまで情報が揃えば,セキュリティ対策をどこまでやるかの判断がつきやすく,ボトルネックが解消されるというわけだ。
4.工場セキュリティの最低限の対策
次に,アセスメントを実施した後の具体的なセキュリティ対策の提案例を示す。
アセスメント1および2を実施した結果,セキュリティ対策の基本的な3要素である「組織(People)」,「運用(Process)」,「技術(Technology)」に加えて,近年重要性が増している「工場資産サプライチェーン」の4つのカテゴリの対策状況をヒアリングシートによって可視化する。
現在の日本の工場のほとんどは,各カテゴリ評価が4段階(A~D)の「C」または「D」となる。これは,総じて,「セキュリティ対策が未実施または,部分的に実施されている状態」である。すなわち,基本的な対策ができていないという意味だ。
最初のアプローチとしては,これらの4カテゴリについて「B」,すなわち,総じて(きちんとPDCAが回っているとは言えないが,)セキュリティ対策が実施できている状態を目指す。これは,あらゆる工場において最低限の施策と言えるだろう。フォーティネットは,セキュリティ対策の第一段階として,最低限の対策を実現するために,「組織(People)」,「運用(Process)」,「技術(Technology)」,「工場資産サプライチェーン」に対する総合的な提案を提示する(図2)。
まず,OTコンサルティングサービスは,主に「組織(People)」,「運用(Process)」,「工場資産サプライチェーン」に対する改善をサポートする。ここで重要なのは,事業者側が責任組織および担当者を設置し,主体的に進める体制を整えることである。最初のうちは,担当者にスキルがなく,学びながら計画を進めていくことになるが,その過程で,将来コンサルティングサービスに頼らなくても,事業者自身で,リスク評価,計画立案,監査実施などができるようになることを目指すのである。
次に,「技術(Technology)」に対する改善提案であるフォーティネットの工場セキュリティ製品について説明する。技術的な提案は,工場の特性やリスクの度合いに応じて,2パターンの方向性がある(図3)。
・[パターン①]:マルチベンダ環境…他社のスイッチや無線アクセスポイント(AP)があることを前提とした構成
・[パターン②]:All Fortinet…スイッチやAPもフォーティネット製品に置き換える構成
パターン①,②に共通しているのは,「FortiGate」(FG:ファイアウォールとセキュリティ検疫機能を兼ね備えたネットワーク製品)を工場のITとの境界に配置し,複数のFGの監視・分析を「FortiAnalyzer」(FAZ:FGのログを分析してアラートを発したり,レポートを作成する機能をもつ製品)で行う構成である。FGとFAZの組み合わせにより,ITと工場(OT)の境界防御が実現できる。
これに加えて,パターン①では,マルチベンダ環境を想定して,「FortiNAC」(他社のネットワーク・セキュリティ機器と連携して,ネットワーク機器配下のデバイスの接続状況を可視化・管理する製品)を用いて,工場内のネットワーク・セキュリティ管理を行う方向性である。これは工場内のネットワーク・セキュリティ機器をすぐに入れ替えることが,コスト的にも,可用性的にも難しい場合にお勧めする。
これに対して,パターン②は,共通部分に加えて,工場内のネットワーク・セキュリティ機器をFG,「FortiSwitch」(FGで管理可能なスイッチ),「FortiAP」(FGで管理可能な無線アクセスポイント)に置き換えることで,FortiNACとほぼ同様のことが実現できるほか,工場ネットワークの末端まで,セキュリティ機能を付加することができる。これにより,フォーティネットが長年取り組んできたネットワークとセキュリティを統合して管理するという思想を存分に実現することができる。
パターン①,②の比較を表にまとめた(表1)。一つの考え方として,パターン①かパターン②の二択ではなく,パターン①からスタートとして,中長期的な視点でパターン②を目指すという考え方もある。こうすることで,緊急的にリスクを低減しながら,将来的によりきめ細かなネットワークとセキュリティの統合管理ができる状態に移行していくことができる。
5.工場セキュリティを推進する3段階アプローチ
最後に,フォーティネットが提案する工場セキュリティ対策のロードマップとして,3段階のアプローチを示す(図4)。
Step1は,前述した通り,「最低限の対策」として,フォーティネットのヒアリングシートの全カテゴリで評価「B」を目指し,技術的対策では「IT/OTの境界防御」を実現することである。
Step2は,ネットワークの可視化を工場内に広げ,セキュリティ事故対応を強化することである。この段階でのポイントは,たとえば,Nozomi Networks社の「Guardian」に代表されるようなOT系のネットワーク監視装置(IDS)を導入し,セキュリティ脅威の可視化の解像度が上がると,それだけ,アラート発生時の体制(People)と対応手順(Process)を整える必要があるということである。
せっかくセキュリティのアラートが発生しているのに,何も対処しないのであれば,何のために導入しているのかわからない。もちろん監視部分を外注化する選択肢もあるが,あくまでも,対処の判断は事業者自身で行う必要があるため,結局,相当のPeople,Processが必要となるのである。したがって,性急にStep2を目指して,製品の効果が形骸化するよりは,Step1から段階を踏んで,十分なPeople,Processの強化を行ったうえで,Step2に到達する方が結果的に近道ではないかと考える。
Step3は,複数の工場のセキュリティ管理を統合・自動化することである。具体的には,工場向けのセキュリティ監視センタ(SOC)を構築し,高度人材を集約し,できるだけ運用手順の自動化を図ることである。また,この段階では,海外拠点の工場も含めて,グローバルな視点での管理が求められる。その際には,フォーティネットのヒアリングシートより,NISTのサイバーセキュリティフレームワーク(CSF)のような国際的な基準をもとにリスク評価を行う方が,対外的な説明がしやすい場合もある。
では,最初(Step1)から,NIST CSFを用いれば良いのではないかと思われるかもしれない。しかし,たとえば,NIST CSFは全部で108項目あり,実施に手間がかかる上に,重要度のメリハリもないため,網羅性は確保できるものの,あまり対策が進んでいない工場をもつ事業者にとっては荷が重い項目が含まれている。したがって,かえって取り組みの進行を阻害してしまうおそれがあるため,Step1では,より重要な項目にフォーカスしてリスク低減に努めるのが良いと考える。そうした考えに基づいて生まれたのが,30項目程度に絞ったヒアリングシートなのである。
注意すべきことは,この3段階のアプローチは,必ずしも全ての工場において実施する必要はないということだ。工場によっては,Step1がゴールでも構わない。Step2,Step3に進むのは,リスクに応じたコストをかける価値があると判断した工場に絞ってよい。正しいリスク評価ができれば,このようなメリハリを効かせることができる。結果として,全体的な効率化・コスト削減にもつながる。
6.おわりに
本稿では,工場セキュリティ対策推進のボトルネックである「どこまでやるべきかの正解がわからない」状況を打破し,最適なリスク低減とコストのバランスを実現するためのソリューションとして,OTセキュリティアセスメントと3段階のアプローチの概要を紹介した。
製造事業者がDXを安心・安全に進めることで,市場で生き残り,躍進するためにも,サイバーセキュリティは非常に重要な要素となっている。フォーティネットは,事業者が工場セキュリティ対策を検討するために必要な,リスク低減とコストのバランスを取るためのソリューションを充実・最適化することで,日本のDX推進に貢献したい。
注)
*1)ISO21434は自動車の製品ライフサイクル全般に関するセキュリティ標準であり,国際的に順守が求められている。