工場向けサイバー・フィジカル・セキュリティ対策ガイドラインを公開

　経済産業省は11月16日、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」を公開した。同ガイドは、業界団体や個社が自ら対策を企画・実行するに当たり、参照すべき考え方やステップを示した「手引き」であり、これにより工場のセキュリティの底上げを図ることを目的としている。

　その背景には、工場のIoT化によるネットワーク接続機会の増加に伴いサイバー攻撃リスクが増加しており、またネットワークの接続に乏しい工場であっても不正侵入者等による攻撃の可能性もあることが挙げられる。攻撃は意図的な場合もあれば、たまたま攻撃される場合もある。つまり、いかなる工場でもサイバー攻撃のリスクがある。また、サイバーとフィジカルの両面での対策が必要となる。

　ガイドラインは、「はじめに」「ガイドラインの想定工場」「セキュリティ対策企画・導入の進め方」の3章構成となっており、用語・略語、工場システムを取り巻く社会的セキュリティ要件、関連文書におけるセキュリティ対策の考え方、チェックリストといった付録がつく。想定工場に1章を割いていることは特徴的であり、組織構成や生産ライン、業務、データ、ゾーンと詳細に設定されている。

　セキュリティ対策企画・導入の進め方は、「内外要件（経営層の取り組みや法令等）や業務、保護対象等の整理」「セキュリティ対策の立案」「セキュリティ対策の実行、及び計画・対策・運用体制の不断の見直し（PDCAサイクルの実施）」の3つのステップで設定している。内外要件には、参考情報として「一般的な脅威と生産への影響の例」や「攻撃者の動機」なども用意され、活用度が高い。

　セキュリティ対策の立案が「システム構成面での対策」と「物理面での対策」の双方があることも工場ならではといえる。ライフサイクルでの対策においては、運用・管理面でのセキュリティ対策にOODAプロセスを適用している。また、サプライチェーン対策の項目もあり、取引先や調達先に対するセキュリティ対策の要請、対策状況の確認を挙げている。

　工場システムにおけるセキュリティ指針として、広く活用されると思われる。ただ、PDCAサイクルを回すとなると、ISO規格と重なるケースも考えられるが、業界特有のISO規格の紹介にとどまっているのは惜しいと感じる。すでにISO 27001（情報セキュリティ）やISO 9001（品質）、ISO 14001（環境）など複数のISOを運用しているケースも多いと思われるので、これらとの整合性を取った上での運用に関する情報も求められるところだ。