組織横断プロジェクトで綿密な計画と事前の検証を

 

PwCコンサルティング パートナー

上村益永氏 うえむら・よしひさ


通信キャリアにて、商用ネットワークの構築プロジェクトや渉外業務を経験した後に入社。主に製造業・ハイテク・金融業・政府に対する情報セキュリティー、制御セキュリティー関連のアドバイザリー業務に従事。PwC JapanグループにおけるOTセキュリティー領域のリーダーを務める。

PART1では、企業を取り巻くデジタルリスクの現状と課題を見てきた。ここでは、モノの生産や出荷に直接関わる工場のシステムに焦点をあて、現状と課題を見ていきたい。実際、OT がITと融合してインターネットにつながることにより、生産環境にはこれまでにない脅威が侵入している。PwCコンサルティングの上村益永氏に、工場のシステムリスクとセキュリティー対策の取り組みを聞いた。

ITとOTはそもそもの目的が違う

――最近よく聞く「OT セキュリティー」とは?
OTすなわちオペレーショナル・テクノロジーとは、モノの生産ラインやシステムの制御・運用技術のこと。この技術にわるセキュリティーを指して「OTセキュリティー」と呼ぶ。ただ、問題を複雑にしいるのは、昨今この技術のなかにインターネットにつながるITが多分に含まれるようになってきたことだ。

オペレーショナル・テクノロジーの領域でも、ITに起因するものは「ITセキュリティー」と呼ぶ会社もある。一方で、工場や研究所の中にある技術であれば、ITであってもOTセキュリティーと呼ぶ会社もある。言葉の定義自体が定まっていない。

定義があいまいだと、取り組みもあいまいになる。オペレーショナル・テクノロジーのセキュリティーに取り組む際は、どの範囲をもってOTとするのかを、企業ごとあらかじめ明確化することが必要だ。そうしないと、あとで食い違いが生じる場合がある。

OTとはオペレーショナル・テクノロジー、モノの生産ラインやシステムの制御・運用技術のこと(イメージ:写真AC)

――OT セキュリティーとは、つまりは工場や研究所の中のIT セキュリティーをどうするかという問題か?
そう単純ではない。というのは、ITとOTはそもそもの目的が違う。端的にいえば、ITは主に事務作業を効率化する技術。これに対しOTは、生産やサービスを自動化したり高度化したりする技術だ。OTはいわば、企業の本分に関わる。

確かに、昨今のOTセキュリティーリスクの高まりは、OT環境のなかでITがふんだんに使われるようになったことに起因している。企業のコア事業を高度化する手段としてITが使われるようになり、そこから新たなリスクが侵入しているのは事実だ。

ただしそれは、サイバーセキュリティーに限った話。サイバーに限らなければ、OT環境特有のリスクは以前から多数存在する。例えば、生産工程をシステム化すればシステムリスクがともなう。ITの場合それはあくまでデータ上のリスクだが、OTはロボットアームを動かしたり、金属を燃やしたり、化学薬品を合成したりするがゆえに、人身事故や環境汚染といった物理的リスクも生じる。

見方を変えれば、システムリスクとしてOT固有のインシデント、例えば動作停止、誤作動による事故や爆発、有害物質の漏えいといったインシデントは以前から常にある。それを引き起こす原因が、人為的ミスオペレーションだったり、通信障害だったり、停電だったり、あるいはサイバー攻撃だったりするわけだ。

ただ、このうちミスオペレーションなどは、特に製造業やインフラ企業では以前から手厚い対策を実施してきた。ダブルチェック、立ち入り禁止区域の設定、安全具の着用などだ。そのため、ある程はリスクをコントロールできるようになってきている。

しかしサイバーセキュリティーは、いままで工場内ではリスクが顕在化していなかったために、まだリスクがわからず、対策も講じられていない。結果、ほかの原因に比べ、インシデントを生みやすくなっている。