経済産業省のガイドラインはベースラインアプローチ

 経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」(以下、工場システムセキュリティ対策ガイドライン)を策定した背景には、サイバー攻撃による工場の被害が国内外で生じていることから、工場のサイバーセキュリティー対策の必要性を強く喚起する狙いがある。

 記載されているのは啓蒙的な内容だけではない。対策を企画・実行するにあたり、参照すべき考え方やステップを「手引き」として示し、技術的な対策から運用・管理面の対策にまで踏み込んでいる。いくつかの“想定工場”を設定し、対策の実現を具体的に例示しているのも特徴だ。しかし、特定の業界・業種や製造する製品という観点で対象を限定したものではない。いざ実現しようとすると、ここに難しさがある。

 サイバーセキュリティー対策の実現手段には、大きく2つの手法がある。「ベースラインアプローチ」と「リスクベースアプローチ」である。前者のベースラインアプローチは業界団体のガイドラインや標準規格などを参照し、組織として実現すべきセキュリティーの水準(ベースライン)を策定。これを基に、現実の乖離を埋めながらセキュリティーの“あるべき姿”を実現していくやり方だ。

 一方、後者のリスクベースアプローチは組織を取り巻く様々なリスク要因を評価し、それをどのようにコントロールすべきかを考え、リスクを最小化していく取り組みのこと。迫りくるリスクとどう向き合うかを重視しており、より実践的な対策手法といえるだろう。

 工場システムセキュリティ対策ガイドラインは、工場セキュリティーの“あるべき姿”を例示しており、ベースラインアプローチの色合いが濃い。

 以降では、ガイドライン実行の課題を明らかにしつつ、リスクベースアプローチによるセキュリティー対策の具体的な実現方法を紹介したい。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。