産業システムを狙ったサイバー攻撃や、それに伴うシステム障害が、ニュースとして報じられることは珍しくなくなった。だが、その多くはシステムそのものが破壊されて止まるのではなく、「間接的な影響」で操業が止まっているのではないだろうか。

6月8日~9日に開催された「TECH+フォーラム IT×OTセキュリティDays 2026 Jun. 事業を止めないセキュリティ」に、情報処理推進機構(IPA) 産業サイバーセキュリティセンター(ICSCoE)専門委員で、名古屋工業大学 産学官金連携機構ものづくりDX研究所 プロジェクト助教の青山友美氏が登壇。レジリエンスの視点に立った産業セキュリティの設計思想を語った。

産業のサイバー事故は「間接的影響」で操業を止める

数年前まで、産業系のセキュリティインシデントは年間でも数えるほどで、表に出ることも少なかった。しかし近年は、国内外で大きな事故が相次いでいる。青山氏が注目するのは、その被害の現れ方である。システムに障害が起きるだけでなく、産業プロセスそのものが止まる事例が増えているのだ。

止まり方には特徴がある。制御システムそのものが攻撃されたわけではないのに、間接的な影響で操業が止まるというものだ。同氏は近年の事例から、その間接的影響を3つのパターンに分類した。

1つ目は「予防的停止」である。2025年、英ジャガー・ランドローバーは多くの拠点で生産を止めた。攻撃を受けたのはIT系のシステムだったが、OT側への影響が見通せないため、安全確保とリスク低減のために生産を予防的に止める判断を下したのだ。製造業ではとくに多く見られるパターンだという。

2つ目は「IT依存による停止」だ。オペレーションそのものが依存するITサービスに障害が起き、運転を続けられなくなるパターンである。2021年の米コロニアル・パイプラインがこれにあたる。ランサムウェア攻撃を受けたのはIT系だったが、請求のシステムが止まり、どこにどれだけ燃料を送り、どう請求すればよいかが分からなくなった。その結果、燃料供給を止める判断に至った。

3つ目は「サプライチェーン」を通じた影響だ。ジャガー・ランドローバーでは、組み立て工場が止まったことで、上流の部品工場で在庫が膨らみ、発注が止まった。影響は関連企業へと広がり、英国政府がサプライチェーン支援のために融資保証を行う事態にまで至った。逆に、上流のインシデントが下流に及んだのが、2025年のコリンズ・エアロスペースの事例である。同社は航空会社にチェックインや手荷物預け入れのシステムを提供しており、サイバー攻撃を受けた結果、ヒースロー空港やブリュッセル空港といった拠点でフライトの遅延やキャンセルが発生した。

多くの企業は、地震などの自然災害を想定したBCP(事業継続計画)を持っている。だが、業務データや外部サービスにアクセスできなくなるサイバー攻撃による被害の場合は、紙の手順書や代替拠点を用意していても、同じ手順で乗り切れるとは限らない。重要業務を続けるために何を優先し、どの代替手段を用意するかを見直す必要があるのだ。

「絶対に避けたい被害」から逆算するフレームワーク・CCE

こうした事例から、「アセットやIT資産を守るという考え方だけでは足りない」と青山氏は指摘した。重要なのは業務が何に依存し、それをどうすれば続けられるのかを問う観点だ。何が起きたら最も困るのかを起点に、逆算して考える発想である。

では、重要業務から逆算する発想を、どう具体化するのか。同氏が紹介したのが「CCE(Consequence-driven Cyber-informed Engineering)」というフレームワークだ。米国アイダホ国立研究所(INL)を中心に、重要インフラ防護の必要性から生まれた手法である。

CCEの独自性について、青山氏はこう説明した。

「今どのような攻撃が起きているかという視点ではなく、自分たちが守らなければいけない価値やプロセスは何かというところから逆算していく。そこがCCEのユニークな点です」(青山氏)

  • CCEの4つの視点

    CCEの4つの視点

CCEは4つのフェーズから成る。

第1は「経営の視点」だ。何が起きると事業・安全・品質・納期に重大な影響が出るのか。絶対に避けたい結果事象から事業被害の優先順位を付ける。

第2は「エンジニアの視点」で、その重要業務が設備・IT・OT・データ・外部のステークホルダーの何に依存しているかを分解する。同氏は、これを安全解析のフォールトツリー解析(FTA)に近い考え方だと説明した。頂点事象を決め、その要因を繰り返し洗い出していく方法だと言える。

第3は「攻撃者の視点」だ。ここで初めて、どの経路を使えば事業被害を引き起こせるかを攻撃者の視点で考える。個別の脆弱性や流行の手口を見るのではなく、脅威が最終的な事象に至るまでを1つのストーリーとして捉える。

第4は「防御の視点」である。ここはセキュリティエンジニアだけの領域ではない。リスク管理や安全設計の視点も交え、縮退運転や復旧計画まで含めて、どこで影響を小さくし、どう最低限の業務を続けるかまで検討する。

ランサムウェアを「品質・納期・売上」の言葉で語れ

CCEのもう1つの効果は、セキュリティについて「全員参加」できる点にある。ランサムウェアやゼロデイ、不正アクセスといった言葉は、セキュリティ部門以外には、自分ごととして捉えにくい。それは、自分の業務にどう影響するのかが見えないからだ。そこで青山氏が強調したのが、周囲のステークホルダーに分かる言葉へセキュリティ事象を翻訳することである。

具体的には、セキュリティ脅威を被害事象につなぎ直すやり方だ。ランサムウェアや不正アクセスが、QCD(品質・コスト・納期)やHSE(労働安全衛生・環境)、規制違反にどう影響するのか。さらに経営の視点まで広げれば、オペレーションリスクや財政リスク、レピュテーションリスクとして把握できる。このように言い換えることで、セキュリティの議論に他部門も参加しやすくなる。

「セキュリティを担当する私たちの側も、周りの方が参画しやすいように、説明の仕方を変えなければいけないと考えています」(青山氏)

計画運休の考え方を応用した「警戒運転」

最後に青山氏が示したのが、「備える」ための具体的な運用設計だ。通常運転とインシデント対応の二択で考えるのが一般的だが、その間にもう1つのモードを挟めないか、という発想である。

国内では、台風の接近が予報されると、鉄道などが計画運休や短縮運転に切り替える対応が一般的になった。これと同じ考え方を、サイバーセキュリティにも応用できるのではないか。具体的には、サイバー攻撃の予兆やインテリジェンスを得た段階で、被害が出る前に運転モードを切り替えるのだ。この考え方を、同氏は「CCO(Cyber Conservative Operation)」、日本語で「警戒運転」と紹介した。CCEと同じアイダホ国立研究所のチームが研究を進めているという。

警戒運転の要素は2つ。1つは、体制と検証の強化だ。現場監視員を一時的に増やし、メーターの読み取り値とシステム上の表示値が一致しているかを確かめる。また、データの相互検証や手動確認のステップを意図的に増やす。効率は落ちるが、安全に運転を続けるための確認体制を厚くするわけだ。

もう1つは、攻撃サーフェスの削減である。必要のないリモートアクセス回線を遮断し、緊急性のないシステム変更を止め、重要でないデジタル機器を一時的に無効化する。インシデント発生時に急に対応を切り替えるのではなく、その手前で備えておくのが警戒運転なのだ。

「レジリエンス(弾力性)だけではなく、本当に起きたら困ることが自分たちのプロセスにどう影響するのかを、あらかじめ共通認識として持っておき、安全に運転を続けられる状態へ移行しておく。そこまで含めた考え方です」(青山氏)

守るべきはアセットではなく事業プロセス

今後重要になるのは、技術と経営の双方を理解し、両者を橋渡しできる人材である。青山氏が所属するICSCoEは、その中核人材の育成を目的とする機関だ。1年間のフルタイムプログラムでは、IT・OTとビジネスを総合的に学び、模擬システムを使った演習や国内外の関係機関とのネットワーク構築に取り組む。修了者は「叶会(かなえかい)」というコミュニティでつながり、知見を社会へ還元している。1年間の参加が難しい人に向けて、責任者・実務者向けの短期研修も用意されている。

講演を通じて同氏が繰り返し強調したのは、守るべき対象を問い直す姿勢だ。

「本当に起きたら困ることから考えて、アセットを守るのではなくプロセスを守る。セキュリティという分野を超えて、安全やリスクマネジメントの領域も含めて検討していく必要があるのです」(青山氏)

技術の話に終始するのではなく、事業を止めないという目的から逆算すること。そこが、産業セキュリティの設計思想の出発点になるのだ。