産業サイバーセキュリティ・コンサルタント、Simon Nutz
オストフィルダン, 2025/05/20
産業サイバーセキュリティは経営上の課題: これから始める企業のために
「セキュリティ?我々には関係ありません!」 – セキュリティについて尋ねると、今でもたいていの機械メーカやオペレータはそう答えます。そして「セキュリティはIT部門が担当しています」と、少し弁解がましく付け加えます。しかし現実には、IT部門には、特にオートメーションネットワークに関しての詳しい知識が不足しています。一方、設計エンジニアにはサイバーセキュリティ対策の明確なノウハウがなく、それは安全衛生管理者(HSE)でさえも同様です。それでは一体、どうやって産業サイバーセキュリティへの備えをすればよいのでしょうか?
欧州連合では機械規則(MR)の適用が2027年1月から義務化されます。これはEUへ機械を輸入したりEU内で機械を運用したりする、すべての企業が対象です。MRは産業サイバーセキュリティを不正行為からの保護対策という形で規定しています。つまり、産業サイバーセキュリティとは事業に不可欠なもの、したがって経営上の課題なのです。経営者は産業サイバーセキュリティをしっかりと社内に根付かせるよう努めなくてはなりません。
全社で取り組む
成功への第一歩は関係者全員を参加させることです。機械メーカならIT部門と開発/設計部門に加え、セキュリティ責任者(CISOなど)が対象です。ユーザ企業であればIT部門、生産技術/生産管理部門、HSE、CISOが対象になります。
第1のステップでは産業サイバーセキュリティの知識を深め、共通認識を形成します。設備・機械業界にはどんな法的義務が課せられるのでしょうか?安全とセキュリティとの関係は?ITとOTのインターフェースはどこで交わるのでしょうか?
第2のステップでは、部門を超えたそれらのチームが適切な全社規模の戦略を立て、実装のコンセプトも決定します。ここでは社内構造の中での位置付けをはっきりさせる必要があります。将来の担当部署は?機械設備のネットワークトポロジの形態は?それは新たな法的要件にどのように合致するのでしょうか?
実装の第1歩: リスクアセスメント
産業サイバーセキュリティの実装はリスクアセスメントなしには始まりません。まず損害をもたらす可能性がある事象を見定め、定量化して、保護要件分析を実施します。ネットワーク、デジタル化、AIの利用などに伴う脆弱性と、攻撃や不正操作の可能性を特定することも、このプロセスの一部となります。ここで重要な点として、従来のIT保護の目標である機密性、完全性および可用性に加え、産業サイバーセキュリティの目標には安全性、すなわち機械の機能安全も含まれます。
どんな時でも、セキュリティリスクアセスメントがすべての出発点です。その目的はセキュリティの欠陥による脅威やリスクの分析にあり、そのためにはセキュリティ対策を継続的に監視し、調整しけなければなりません。複雑なITインフラやネットワークが関係していることも多く、ケースによっては追加の技術的な専門知識やリソースが必要になるでしょう。
セキュリティと安全のエキスパート求む!
オートメーションにおける産業サイバーセキュリティの取り組みを始めるにあたって外部の支援を求める場合に、理解しておくべきことは、ITセキュリティの知識が役立つ範囲は限られているということです。なぜなら、機械への攻撃リスクを減らすためのプロセス(産業サイバーセキュリティ)は、機械自体から生じるリスクを減らすための手順(安全)に非常に近いものだからです。産業サイバーセキュリティの実装を手がける人物は機械安全の専門家であり、各種の仕様および規格に精通している必要があります。中でも機械規則は重要です。
個々の法規制の実装については、現状は流動的なものであり、整合規格の策定が今も続いている地域もあります。ピルツは機械安全のエキスパートとして関連規格の作成に関わり、積極的な役割を果たしています。そしてお客様のために、経験にもとづく専門知識をサービスやトレーニングの形で提供しています。「産業サイバーセキュリティの中級」トレーニングはビギナー向けのコースです。トレーニング参加者は用語の意味と各種の要件について学び、機械とネットワークセキュリティの観点からサイバーセキュリティを理解できるようになります。ベストプラクティスを学ぶことで、生産におけるサイバーセキュリティ上のリスクをより明確に理解できます。
「Certified Expert for Security in Automation(CESA)」のトレーニングでは、産業オートメーションネットワークにおける組織的・技術的対策を効果的に実装するのに必要な手段を学べます。
ピルツはトレーニングプログラムに加えて、「Identification and Access Management」(I.A.M.)のポートフォリオをご用意しています。これには従業員保護、賠償責任保護、生産性の最大化、データ保護の課題に関連するいくつかのタスクに向けた製品群と個別のソリューションが含まれます。アプリケーションの例として、ユーザ認証、安全なオペレーティングモードの選択、データとネットワークのセキュリティ、アクセス管理などの機能があり、それらを通して安全とセキュリティを1つのシステムに搭載できます。
全世界の機械メーカやオペレータは、産業サイバーセキュリティの課題に対する備えが遅れることがないように、今すぐこれらの対策を始めるべきです。知識を深め、責任とインタフェースを定義し、個別の戦略を策定する必要があります。経営層がこのプロセスの指揮をとるのが理想的です。
