【巻頭フォーカス】
業務革新と設備のサイバーセキュリティ ~その着眼点と新たな展開
1.はじめに
欧米日豪のサプライチェーン上の脆弱性を標的にしたサイバー攻撃が社会インフラを脅かすまでになったことで,欧米日豪では経済安全保障の一環にサイバーセキュリティ対策を取り入れている。
2018年頃からEU政府と米国政府が様々なサプライチェーンのサイバーセキュリティ強化対策を進めていく中,日本の動きは不安であると言われてきた。サプライチェーンを支える設備の制御システムセキュリティ対策国際規格IEC62443の基準は国内企業に求めるには高すぎると,日本は独自の基準を探っていた。しかしその間,サイバー攻撃は増え,高度化した。その結果,現在ではIEC62443の国際基準は最低限必要な基準であるという認識に至っている。これにより企業責任で担う人材育成の課題は重要であることの再認識が高まっている。
2.Project GAIA-Xとサプライチェーン再編成
そんな状況下で,欧州で始まったGAIA-Xは,サプライチェーン再編成の機会を利用しているようだ。既にドイツではCatena-Xが,オランダではSCSNが,イタリアやスペインでもGAIA-Xのデータ管理センタが立ち上がるなどしており,企業間バリューチェーンのデータアクセス上の識別・認証のアカウント管理と安全接続を確保する活動が整備されている。(図1,2)
これに,企業間の自動受発注システムが加わることと,個人情報保護法やデータ保護法などの法規制管理も加わることで,顧客であるという識別管理が必要となる。
GAIA-Xの接続条件は,各団体で異なる部分もあるが,基本的にISO/IEC27001認証を取得し,IDS Connector(通信仕様はOPC UAを採用)接続となっている。
この企業間取り引きでは,製品の品質情報や脆弱性識別情報も扱うことを想定しているので,企業では,情報のデータセキュリティ管理が必要となってくる。つまり,見せたい相手にだけ情報開示をするという仕組みが必要である。(図3)
また,SCM取り引きでのサイバーセキュリティ対策として,DMZの設置,万一のダウンタイム短縮の仕組みとしてデータのバックアップやシステムの再立ち上げ時間短縮などの仕組みを採用しておく必要が出てくる。(図4)
設備を持つ製造業では,安定供給を求めるためにIEC62443認証取得した製品を使用することを発注仕様書に記載する企業も増えてくる。(図5)
3.他産業の動向~防衛・半導体・航空・船舶
防衛産業界の企業がサイバー攻撃に遭って,防衛機密情報が何度も漏洩するサイバーセキュリティ対策のレベルの低さに,日本の防衛省も米国のNIST SP800-171と同レベルのサイバーセキュリティ対策を検討し,制御システムセキュリティ基準を上げている。半導体産業でも工場の製造工程の一部にランサムウェアが侵入し,製造プロセスが止まり,ウェハを大量に廃棄しなければならない事態に陥ったりする。航空機産業においては,製造設備から航空機搭載機器にマルウェアが侵入して航空機事故を起こす事例を教訓に,製造ラインのセキュリティ対策強化も要求している。(図6)
船舶業界も船舶搭載機器に第三者認証取得を基本とする基準作りに着手している。
工場建設設計の段階で生産能力を確保するためのシミュレーションを実施するところが増えている。そのシミュレーションには,製造装置やマシン,ロボット,搬送機などの構造情報モデルを取り込んで,生産工程をバーチャル上で確認し,生産量を確保するために必要な各装置やマシンなどの要求性能仕様を出して,発注仕様書に付ける,などがある。そのために,装置やマシンの設計3DCADツールに,構造モデルや制御モデルなど,シミュレーションで必要となるモデルの出力機能を持つ製品開発ツールが求められている。
また,ソフトウェア製品開発ツールや制御コントローラ設計ツールにおいても,IEC62443でも要求しているセキュアコーディング機能が充実したツール製品が必要となり,製品開発プラットフォームの見直しも拡がっている。さらに,脆弱性識別情報管理を充実するために,制御システム設計や装置設計,マシン設計での制御特有の通信仕様プロトコルの適用範囲も拡がっており,セキュリティ検査ツールの選定もレベルが上がっている。
世界地図とサプライチェーンの船舶航路や航空機航路を視て製造工場拠点をどこにするかを考えなければならない企業では,紛争や戦争有事のリスクや感染症などで港がロックダウンすることなども想定し,地産地消の市場の規模も考慮しながら製造拠点を決めていくことになる。状況によっては製品製造を他の製造拠点で行わなければならない場合もあるため,その仕組みを最初から考えておく必要がある。この場合でもモデリング設計が活躍する。
4.モデリングとRAMI4.0
産業における自動化システムの構造をIndustry4.0では,RAMI4.0で表現し,そのレイアの区分で現場のAssetからデジタル情報を取り出し,製造するMESへとつながる。ビジネスにおいては,DXシステムを形成するERPやMESやPDMやPLMを形成し,その先はSCMへとつながり,GAIA-Xを接続でのサプライチェーンの受発注システムやバリューチェーンの情報モデルの授受につながる。(図7)
RAMI4.0のプラットフォーム構築を進めてきた結果,現場のSCADA・DCS/MESからERPからPDM/PLMにそして,SCMへと拡がるところは,HTTPSとOPC UAの基本構成になっている。何故,OPC UAを採用したのか? (図8)
OPCというと,OPC DAやOPC A&Eなどを思い浮かべる方は,制御コントローラの周辺で仕事していた人たちである。「タグ」という言葉を使ってきた方はSCADA・DCS製品の周辺で仕事してきた人である。この「タグ」の構成単位は,データモデルである。
これが,管理シェルのコンポーネント(装置,セル:複数の機械やロボット,など)を扱うと,消費エネルギーや稼働時間や生産効率などのデータも扱うことになる。これらの情報を識別して塊取り合いする業務システムになる(図9)。これがDXシステムになると,MES,ERP,PDM,PLM,CRMが連携する企業インフラを形成する。
DXシステムでは部門連携を可能にしなければDXシステムの本来の目的が達成できないので,ネットワークデータベースを採用する。各部門のサーバから必要なデータや情報をダッシュボードに取り込んで自部門の役割と責任を果たすべくオペレーションするには,ネットワークデータベースが好都合である。
さらに,サプライチェーンで企業連携および取り引きで生産した製品のセキュリティ品質情報を含めて取引するとなると,製品が持つセキュリティプロテクト機能やセキュアコーディングした日付情報とCVE管理データベース名や脆弱性識別情報ソースURL,セキュリティ品質検査ツール名とバージョン情報などが求められる。
これらのセキュリティ品質情報を供給企業名やメーカ名と納入日と一緒にCybersecurity Framework手法で設備管理することになる。工場のレイアウト設計で,ネットワークにつながる装置やセルや機械などのセキュリティ品質情報で,製造ラインの脅威リスクモデル設計ができるようになる。設備メンテナンスのセキュリティレベル維持管理ができるようになる。
ただし,設備にしている製品の脆弱性識別情報がハッカーの手に入ったら,その設備の操業そのもののサイバー攻撃シナリオを作られて,サイバーリスクが高くなる。特にインターネットを使って企業間連携をすると,ハッカーから攻撃を受けるリスクは極めて高くなる。
ところが,ISO/IEC27001認証を取得し,設備にはIEC62443認証を取得している企業でGAIA-Xを採用して企業間連携を行う場合は,このサイバー攻撃のリスクは低くなる。(図6)
5.IEC62443セキュリティ要件
IEC62443には,生産設備のセキュリティ要件や製品開発のセキュリティ要件の基準が定義されている。一般産業を対象にしたNIST SP800-82でも,国防設備や政府施設を対象にしたNIST SP800-171でも,第三者認証としてIEC62443を基準にした認証を指定している。
そのIEC62443のセキュリティ要件をどのような組織体制で,どのようなマネジメントシステムで,どのようなプロテクト機能をどのように実装して,またどのように検証して,どのように顧客にガイドラインを出したら良いか。そのガイドラインを作成し,継続的に顧客へ提示していく体制をどのように管理をしたら良いか。そのためにどのような人材育成をどのように実施したら良いか。組織を構成する人員の実務能力をどのように評価したら良いか。様々な課題がある。
IEC62443のセキュリティ要件はISO9001対象の管理基準書や手順書に反映する必要があり,IEC62443の要件を加えた後は,ISO9001の更新が必要になる。それでいて,設備をサイバー攻撃から護るプロテクト機能が機能しなければならない。それができてはじめて,顧客への供給責任を果たすことができると言える。
6.最後に
実は,IEC62443には広くて深い内容が記載されており,その基準設定の真意を理解する必要がある。
当社ICS研究所では,このIEC62443に書かれていることをオンデマンドビデオ講座「eICS」で解説しており,実務に必要なことも学ぶことができる。さらに,制御システムセキュリティ実務能力検定ではIEC62443の理解度を評価をすることができる。
特に,IEC62443-4-1のPractice1のSM-4などでは,製品開発に関わる者は事前に制御システムセキュリティ対策についての教育を実施しなければならないし,セキュリティ検査ツールのトレーニングも受けておかなければならない。また,その実務能力を評価して,その適正を持って業務配置することが求められている。