デジタル化の波が製造現場を変えつつある今、工場の制御システムを狙うサイバー攻撃のリスクが急速に高まっている。「どんな工場でも攻撃を受ける可能性がある」——経済産業省 商務情報政策局 サイバーセキュリティ課 見次正樹氏は、5月26日に開催されたWebセミナー「TECH+セミナー 製造業×OTセキュリティ 2025 May. 工場・製造現場を守るセキュリティ事故の予防と対応策」において、製造業が直面する新たな脅威について警鐘を鳴らした。

本稿では、見次氏の講演から浮かび上がる製造業が直面するサイバーセキュリティの脅威と、それに対する国の取り組み、とくに経済産業省が提示する「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について紹介する。

サイバーセキュリティを取り巻く現状と、政府および経済産業省の取り組み

冒頭、見次氏はデジタル技術の発展に伴うサイバーリスクの増加について言及。「デジタル技術の発展により、ITシステムやクラウドの利用が拡大している。それに伴いシステム侵入口が増加している状況。さらに生成AIなどの技術進歩によりサイバー犯罪の高度化も進んでいる」と述べた。

また、情報処理推進機構(IPA)がまとめた「情報セキュリティ10大脅威 2025」を引用しながら、ランサムウェアやサプライチェーンを狙った攻撃が増加していることを強調。「大企業だけでなく中小企業の被害も非常に多く、サプライチェーン全体での対策強化が必要」と指摘した。

経済産業省では「産業サイバーセキュリティ研究会」を開催し、産業界の代表者からの意見を取り入れながらさまざまな分野での検討を進めている。

また、セキュリティ対策の基本的なコンセプトとして「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」を策定。これは物理空間とサイバー空間の融合が進むなかで、サイバー攻撃の影響がフィジカル空間にまで及ぶことを想定したモデルである。

工場セキュリティガイドラインの概要

講演の中心は、2022年11月に策定された「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」の解説であった。同ガイドラインについては、2022年11月に本編が、2024年4月には「スマート化を進める上でのポイント」と題した別冊が公開されている。

ガイドラインの基本的な構成は、以下の3つのステップで整理されている。

  • ステップ1: 内外要件(経営層の取組や法令等)や業務、保護対象等の整理
  • ステップ2: セキュリティ対策の立案
  • ステップ3: セキュリティ対策の実行、及び計画・対策・運用体制の不断の見直し(PDCAサイクルの実施)

見次氏は対策の目的や効果について「工場のBC/SQDCの価値を守っていくことを目指している」と強調した。

  • 工場セキュリティガイドラインの概要

経営者の役割とセキュリティ対策の実施

ガイドライン本編の解説にあたって、見次氏は「経営者の皆さまへ」というメッセージを掲げた。経営層のコミットメントが、実効性のある対策推進には不可欠であるからだ。同氏は「どれだけ経営者の皆さまにサイバーセキュリティ対策を自分事と捉えていただけるか」が重要であり、「攻撃を受ける可能性はどの工場にもある」という認識を持つことの必要性を訴えた。

  • 経営者へのメッセージ

ガイドラインの適用範囲は、工場における産業制御システム、いわゆるOT(Operational Technology)を対象とし、事務系のITシステムは対象外としている。抽象的な記述に終始しないよう、電気機器・電子機器メーカーを想定して作成しているという。

ステップ1では、自社の状況を徹底的に把握することが求められる。内外の環境、経営目標、システムの特性などを整理し、業務プロセスを洗い出して重要度を設定。保護すべき情報資産やシステムを明確にし、それらの重要度を評価する。ここで重要な概念として「ゾーン設定」が登場する。「ここでいうゾーン設定とは、物理的なエリア区分ではなく、システム的・論理的なセキュリティ上の区画単位として捉えていただきたい」と同氏は補足した。

ステップ2では、システム構成面と物理面の両面から対策を検討する。システム構成面では、ネットワークにおける対策と、個々の機器における対策を、それぞれ「最低限」「中」「高」といったレベル分けで提示。物理面では、建屋への不正侵入対策、電源・空調・水道設備といった重要インフラの防護、入退室管理などの物理アクセス制限が挙げられた。

ステップ3では、策定した対策を実行に移し、その効果を検証して改善を続けるPDCAサイクルを回すことの重要性が説かれる。特に、「ライフサイクルでの対策」と「サプライチェーンを考慮した対策」の2点が強調された。

ライフサイクルでの対策とは、攻撃を100%防ぐことが困難であるという前提に立ち、被害を最小化するための取り組みを指す。具体的には、OODAループ(Observe:観察、Orient:状況判断、Decide:意思決定、Action:実行)の考え方に基づき、攻撃の兆候を早期に発見し、迅速かつ的確に対応するプロセスを確立することである。

サプライチェーンを考慮した対策では、自社工場だけでなく、取引先や調達先を含めたサプライチェーン全体でのセキュリティレベル向上が求められる。製品の脆弱性情報の共有体制、業務委託先のセキュリティ対策状況の確認などがポイントとなる。

さらに、本編の付録として具体的な「チェックリスト」が提供されており、準備段階から組織的対策、システム対策、サプライチェーン対策に至るまで、具体的な項目を通じて自社の達成度を評価できるようになっている。

スマート工場におけるセキュリティ対策

2024年4月に公表された「スマート化を進める上でのポイント」では、クラウドサービスなどの利用が広がるなかでの留意点が本編との整合性に配慮した構成でまとめられている。見次氏は「スマート化によって外部ネットワークとの接続が増加し、サプライチェーンも拡大するため、新たなリスクが生じている」と説明。

特に重要なのは、クラウドサービス利用時の責任分界や役割分担の明確化である。「スマート工場では自社だけで完結しない業務が増えるため、社内外の関係者間における責任分界点や役割分担、インシデント発生時の対応について、あらかじめ決めておくことが重要」と同氏は指摘した。

ガイドライン活用のためのさまなるサポート

ガイドライン本編は100ページ以上と情報量が多いことから、より簡潔な「工場セキュリティの重要性と始め方」(約20ページ)や2枚のチラシ形式の資料も用意されている。見次氏は「時間のない担当者や経営者でも取り組めるよう、まずはこういったコンパクトな資料から目を通していただければ」と述べ、まずは取り組みを始めることの重要性を訴えた。

製造業におけるOTセキュリティは、もはや一部の専門家だけの課題ではなく、経営層から現場担当者まで、組織全体で取り組むべき喫緊の経営課題である。経済産業省が示すガイドラインは、その第一歩を踏み出すための羅針盤となるだろう。