工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインとは?
公開日:2024.11.11 更新日:2024.11.11
サイバー・フィジカル・セキュリティ(CPS)とは、サイバー空間とフィジカル空間が融合した社会を対象とするセキュリティのことです。CPSが必要とされている理由や、工場で実施されているCPS対策、CPS対策を実施する上での課題についてわかりやすく解説します。
サイバー・フィジカル・セキュリティ(CPS)対策ガイドラインとは
工場システムのセキュリティ対策を実施する上で、参考となるような考え方やステップを示したもの
出典:経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策」https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
サイバー・フィジカル・セキュリティ(CPS)対策ガイドラインは、サイバー空間と物理空間が融合したシステム(CPS)におけるセキュリティリスクを軽減し、安全性を確保するための指針です。
サイバー・フィジカルの両セキュリティ対策を同時に行う必要がある状況を踏まえ、考え方やステップなどの手引きをはじめとし、必要最小限の対策事項を明記しています。
そもそもサイバー・フィジカルセキュリティ(CSP)とは?
サイバー・フィジカル・セキュリティ(CPS)とは、インターネットで構築されるサイバー空間と、機械などのフィジカル空間が高度に融合した社会におけるセキュリティのことです。
サイバー攻撃の対象は、システムやシステム内部の情報だけでなく、その先に繋がっている機械やシステムを稼働させるパソコンやサーバなどの物理的なモノに広がっています。
オートメーション化が進む工場でスムーズかつ安全性の高いオペレーションを実現するためにも、サイバー空間とフィジカル空間の両方のセキュリティ対策を同時に実施するCPSが必要です。
経済産業省「EUサイバーレジリエンス法(草案概要)」https://www.jasa.or.jp/dl/gov/20220926.pdf
IPA「制御システムのセキュリティリスク分析ガイド 第2版」https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
IPA「産業用制御システム向け侵入検知製品等の導入手引書」https://www.ipa.go.jp/security/controlsystem/icsidshandbook.html
サイバー・フィジカル・セキュリティ対策ガイドラインが必要とされる背景
従来、動作制御や安全管理は機械ごとに実施されることがほとんどでした。しかし、工場のスマート化により、機械や製造ラインなどの動きがサイバー空間に繋がったことで、機械ごとの動作制御や安全管理だけでは安全性の維持が難しくなっています。
そのため、基幹インフラや産業インフラを含む安全なオペレーションのためにも、サイバー空間とフィジカル空間の両方からのセキュリティ強化、サイバー・フィジカル・セキュリティ(CPS)が必要なのです。ガイドラインは、リスク評価、セキュリティ設計、対策、インシデント対応などを網羅し、組織が適切なセキュリティ対策を実施するのを支援します。
【サイバー攻撃の発生事例】
| 発生年 | 業界 | 被害の概要 |
|---|---|---|
| 2019 | アルミニウム生産 | 拠点のほとんどが操業停止、数十億円の被害 |
| 2020 | 自動車 | 各国拠点のPCダウン、北米全拠点の操業停止 |
| 2021 | 石油パイプライン | 5日間操業停止、システムには1週間以上の影響 |
| 2022 | 自動車 | 国内全14工場操業停止 |
ガイドラインで示されている工場のサイバー・フィジカル・セキュリティ対策の手順
サイバー空間とフィジカル空間が高度に融合したオートメーション化が進む工場では、サイバー・フィジカル・セキュリティ(CPS)対策が不可欠です。CPS対策を進める手順を3つのステップに分けて解説します。
1.【現状把握】工場システム内の業務・保護対象・想定される脅威の特定
まずは現状把握とセキュリティ対策のゴールを決定します。工場にある機器や機器を稼働させるシステムを正確に把握するだけでなく、業務・ゾーンの整理や、業務・ゾーン・機器の連携状況の把握も必要です。
【ステップ1を細分化した7段階の内容】
| 1-1 | セキュリティ対策の検討・要件の整理 |
|
|---|---|---|
| 1-2 | 業務の整理 |
|
| 1-3 | 業務の重要度の設定 |
|
| 1-4 | 保護対象の整理 |
|
| 1-5 | 保護対象の重要度の設定 |
|
| 1-6 | ゾーンの整理・業務や保護対象との結び付け |
|
| 1-7 | ゾーンとセキュリティ脅威による影響の整理 |
|
2.【計画】セキュリティ対策の立案
次に、ステップ1で整理した現状と対策目標に基づいて、工場のセキュリティ対策の方針を策定します。また、想定される脅威や、脅威に晒されたときの対応についても策定しておくことが必要です。
【ステップ2を細分化した2段階の内容】
| 2-1 | 全体方針の策定 |
|
|---|---|---|
| 2-2 | 想定脅威に対するセキュリティ対策の対応付け |
|
3.【実行】セキュリティ対策の導入・運用・保守
ステップ3は、セキュリティ対策を実行しつつ、日々対策を改善できる体制を整える段階です。サイバー攻撃は日々変化しているため、対応し続けることが求められます。また、防御だけでなく、問題・被害の発生を想定した具体的な対応方法の整備も重要です。
【ステップ3において必要とされる日々の対策例】
| サイバー攻撃の早期認識と対処 |
|
|---|---|
| セキュリティ対策管理 |
|
| 情報共有 |
|
工場におけるサイバー・フィジカル・セキュリティ対策を行う上での課題
【工場におけるCPS対策の課題】
多数の機器が複雑に相関し合うラインやシステムの正確な把握が難しい
工場内システムや機器は、複雑かつ更新頻度が高いため、常に正確に把握することは容易ではありません。さらに、システムや機器だけでなく、システム間や機器間のつながりについても把握することが必要です。
現状を正確に把握するだけでなく、常に最新の状況を正確に把握するためにも、把握工程も含めた運用体制が求められます。また、ラインの把握にはOT(Operational Technology)システムの担当者が必要ですが、サイバーセキュリティ対策にはITシステム担当者が必要になるため、担当者の振り分けや協力体制の確立も重要です。
工場におけるサイバー・フィジカル・セキュリティ対策ガイドラインに関するよくある質問
工場におけるサイバー・フィジカル・セキュリティ(CPS)対策について、よくある質問とその答えをまとめました。ぜひ参考にして、適切なCPS対策を実施してください。
Q.工場のスマート化・DX化において何に留意して進めていけばよいですか?
- A.工場のスマート化・DX化を推進するにあたり、信頼できるシステム開発会社に相談することが必要です。データの収集や活用についての方針が明確でないうちは、目的を最小限に絞って小規模スタートするのもよいでしょう。また、同時にセキュリティ対策を実施することも重要な要素です。
Q海外から製造を受注するにあたり、セキュリティに関する規定はありますか?
- A.海外との連携により、国内の工場や本社にサイバー攻撃が及ぶことも珍しくはありません。セキュリティに対しての社内ガバナンスを設定するだけでなく、具体的な技術的対策を明確にしておくことが求められます。また、受注する前に、両者間のセキュリティ対策についてのルールや体制、対策を構築しておくことも必要です。
セキュリティ対策においてPDCAサイクルを回そう
工場を安全に稼働するためには、サイバー空間とフィジカル空間の両方におけるセキュリティ対策が欠かせません。また、サイバー攻撃は日々進化しているため、セキュリティ対策も常にアップデートすることが必要です。
カナデンでは、サイバーセキュリティ対策をワンストップで提供する「OTセキュリティソリューション」を提供しています。さまざまなIT/OT技術を要する「課題抽出」「対策導入」「運用」「人材育成」までをトータルでサポートします。お困りごとがあれば、まずはお気軽にご相談ください。
OTセキュリティ関連記事
