「OTセキュリティ? それって本当に工場に必要なの?」「何で今なの?」——資生堂が工場のセキュリティ強化に乗り出した当初、現場からはこんな反応が返ってきた。しかし現在では、工場独自で新人向けのセキュリティセミナーを開催したり、フィッシングメール注意喚起を自主的に発信したりするまでに変化している。この劇的な意識転換は、どのようにして実現されたのか。

5月26日に開催されたWebセミナー「TECH+セミナー 製造業×OTセキュリティ 2025 May. 工場・製造現場を守るセキュリティ事故の予防と対応策」において、資生堂 情報セキュリティ部 髙橋宏美氏が、現場との信頼関係構築を重視した同社独自のアプローチを明かした。

OTセキュリティ強化の背景にある3つの要因

資生堂は1872年創業、約120の国と地域で事業を展開するグローバル化粧品会社である。近年、国内における自社供給能力と生産性の強化に注力し、2019年の那須工場を皮切りに、大阪茨木工場(2020年)、福岡久留米工場(2022年)と、国内に3つの新工場を稼働させた。既存の大阪工場、掛川工場と合わせ、国内5拠点で基幹商品の製造体制を整え、災害リスクの分散や柔軟な生産出荷体制の構築を目指している。

同社がOTセキュリティに取り組む背景には、大きく3つの要因があるという。

第一に、工場におけるITの活用促進である。「スマートファクトリー化により、設備とITとの連携が急速に進んでいる」と髙橋氏は説明する。生産ラインがネットワークに接続され、クラウド経由で稼働状況を把握したり、外部ベンダーがリモートで設備保守を行うための回線が用意されたりするケースが増えているのだ。そのため、業務効率やコスト削減に貢献する一方で、従来閉じていたOT環境に外部からの脅威が侵入する可能性が生まれた。

第二に、サイバー攻撃手法の高度化が挙げられる。「特定の企業や工場を狙った標的型攻撃や、社内ネットワークに入り込んだ後にOT機器まで拡散するランサムウェアなど、攻撃者の手法が高度化している」と同氏は指摘する。製造現場では安定稼働が第一であり、生産が止まれば企業全体に多大な損害が生じるため、IT以上に対策が重要になっているという。

第三に、各国で進む工場向けガイドラインや規制の整備である。米中などでは国家レベルでサプライチェーンリスク管理が求められ、日本でも経済産業省から「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」が発行されている。同氏は「対応ができていない場合、将来サプライチェーンから弾き出される可能性もある」と、事業継続性の観点からも対策の必要性を強調した。

「翻訳」と「伴走」で築く工場との信頼関係

OTセキュリティの推進において資生堂が最初に直面したのは、情報セキュリティ部門と工場のあいだにある目的や視点の違いだった。「私たち情報セキュリティ部門は基本的に起きる前に止めるという観点で物事を考えるが、工場側にとっては何よりも計画どおりに生産を回すことが最優先になる。同じ取り組みでも見えている目的がまったく違う」と髙橋氏は振り返る。

この課題を解決するため、同社は3つの工夫を行った。まず、共通言語としてSQDC(安全・品質・納期・コスト)を使用することで、「セキュリティはSQDCを守るために必要な土台」として位置付けた。次に、専門用語の翻訳を徹底。例えば「可用性=生産ラインが止まらないこと」として説明した。そして最も重要だったのが、対等な姿勢で伴走することだった。

「セキュリティ部門が『セキュリティが必要なので、こうしてください』というかたちで一方的に指示するのではなく、『どうすれば生産現場の負担を増やさずに守れる状態がつくれるのか』を一緒に考える姿勢が、現場からの信頼を得るうえで非常に大きな鍵になりました」(髙橋氏)

アセスメントから改善へ、工場主導の体制を育む

同社は2021年からOTセキュリティアセスメントを開始し、2023年に全工場で是正/改善フェーズまで完了した。アセスメントは1工場あたり6~9か月かけて実施し、現地でのオンサイトとリモートでの事前調整を組み合わせたハイブリッド形式で進めている。

  • セキュリティアセスメント実施のスケジュール

アセスメントフェーズでは情報セキュリティ部が全体の実行責任を担い、各工場のIT担当が窓口となって連携。資産の洗い出しやヒアリング準備は工場側、プロジェクト進行管理やコスト調整、外部ベンダーとのやり取りはセキュリティ部が担当した。

一方、アセスメント後の是正改善フェーズでは主役が交代する。各工場のIT担当が中心となって、改善内容の検討と実行を主導。情報セキュリティ部は技術支援や全体整合性のサポートに回った。改善の中身や予算確保、使い方は現場の裁量で進められるようになっている。

「この段階で『言われてやる』から『自分たちで守る』という意識の変化が少しずつ生まれてきたと感じています」(髙橋氏)

情報セキュリティ部と工場のIT担当による月1回の定例ミーティングも重要な役割を果たしている。髙橋氏は「顔の見える関係が育まれたことが一番の成果で、万が一の際もスムーズな連携が可能。また、現場の困りごとや本音を引き出すことを重視し、工場側が主体的に優先順位を考えられる場として機能している」と説明する。

改善活動は2段階に分けて設計されている。最初のフェーズでは、主にルールや手順などPeople/Process系の対応を進め、次のフェーズでは費用がかかるネットワーク再構築などTechnology系の改善を実施している。各工場の事情を踏まえて、柔軟かつ段階的に対応することで、無理なく着実に改善を積み重ねられるような工夫をしているという。

  • アセスメントを起点に実現した現場の改善策

ある工場では、ネットワーク強化の前段階として工場内のLAN配線整備から着手。同氏は「高度な技術を入れる前にまず自分たちで変えられる部分を整えるという、工場の主体性が表れた良い事例」と紹介した。作成されたルールや手順は、他工場にも横展開し、全社的な統一感と現場の実態に即した運用の両立を図っている。

  • 工場におけるLAN配線整備の様子

実践力向上のためのインシデントレスポンストレーニング

技術的な対策だけでは不十分として、同社は現場視点での対応力向上を目的としたインシデントレスポンストレーニングを実施している。トレーニングは情報セキュリティ部門がシナリオを内製し、全工場共通で使える汎用性のあるものとして設計されている。

「技術対策だけでは防げない内容を意識しています。例えばPLC(Programmable Logic Controller)が突然誤作動を起こす、保守ベンダーのPC経由でウイルス感染の兆候が出る、現場の作業ミスが発生するといった、工場で実際に起こりうる状況をベースに、リアルなシナリオを設計しています」(髙橋氏)

訓練後のアンケートでは「今後も異なるシナリオで継続して受けたい」という回答が100%に達し、現場が自分ごととして捉え始めた手応えを感じているという。

継続的な取り組みが生んだ変化

今後の展望として、髙橋氏は国内で得た知見や改善策の海外工場への横展開を挙げた。そして、講演の最後に、「完璧な体制やスキームがなくてもよいので、最初の第一歩は現場の声を聞くところから始めることが大切。小さな対話を積み重ねていくうちに、少しずつ信頼が生まれて、セキュリティは誰かの仕事ではなく、自分たちの仕事なのだという意識が育ってきた」と振り返り、現場との対話を重視したアプローチの重要性を強調した。

資生堂の事例は、OTセキュリティの推進において技術的対策と同等に、現場との信頼関係構築や文化の醸成が重要であることを示している。セキュリティを「やらされるもの」から「自分たちで守るもの」へと意識転換を図る同社のアプローチは、多くの製造業にとって参考になる取り組みと言えるだろう。

[PR]提供:TECH+広告企画