OTセキュリティ強化を巡る外的、内的要因の実態
対策コストを「投資」と見るべき理由とは?
――レガシー設備は、OTセキュリティ強化にとって頭痛の種なのですね。
リュウ 多くの現場には、サポートの切れたWindows OSなどで運用される“20年選手”“30年選手”の設備があるものです。こうしたレガシー設備は、セキュリティパッチ(ソフトウエアなどの問題点を修正するための追加プログラム)が提供されていない場合、サイバー攻撃に対してより脆弱になるのです。
――3~5年で最新のパソコンに買い替えるIT部門からすると、「盤石なセキュリティ体制を敷くならば、適宜設備を入れ替え、システムを構築し直した方が合理的」と考えたくなりそうです。
リュウ しかし、半導体製造装置でいえば1台当たり数億~数百億円する高価なものであり、装置は簡単に入れ替えられるものではないんですよね。それにTXOneが日本、米国、ドイツの大企業300社を対象に2022年に行った調査では、「最新設備を導入してもウイルスに侵入されていた」といった経験があると回答した企業が、全体の47%に上りました。機器を新しくしたからといって、必ずしもOTにおけるサイバー攻撃を防げるわけではないのです。
――聞けば聞くほどOTセキュリティの強化は難しそうです。それでも今、OTセキュリティ対策に本格的に乗り出す企業が増えているのはなぜですか。先ほど柴田さんがおっしゃった外的要因と内的要因が、それほど大きいということなのでしょうか。
柴田 そうですね。外的要因としてはまず、サイバー攻撃者側が“進化”していることが挙げられます。攻撃手法は巧妙化する一方であり、半導体業界や自動車業界などの製造現場が攻撃され、生産・出荷が一時停止した事案も複数発生しています。
また、インシデントの相次ぐ発生に伴い、OTセキュリティリスクを回避するための規格やガイドラインも策定されています。
リュウ 規格やガイドラインには国際標準や業界標準、国内標準などさまざまなものがあります。例えば半導体業界におけるSEMI E187は、半導体製造装置サプライヤーやシステムインテグレーターなどが、隠れたマルウエア(悪意のあるソフトウエア)のない安全な装置を提供することを保証する、半導体製造関連業界向けのサイバーセキュリティ標準として機能しています。
柴田 こうなると特にサプライチェーンの中の各ベンダーは、規格やガイドラインに準拠した対応を行う必要に迫られます。そうしなければ受注機会を失うといった事態に陥りかねないからです。
他方で内的要因としては、企業内部におけるDXやIoT(モノのインターネット)の推進意向の高まりが挙げられます。
一昔前までOTシステムは、ITシステムと切り離され、独立した閉鎖環境下で運用されていました。ところが昨今では、各種機器がインターネット経由で通信する「つながる工場化」が加速しています。ただしそれはOTへのサイバー攻撃リスクを増大させる施策でもあるため、DX化・IoT化と両輪でOTセキュリティの強化に動く企業が増えているのです。
OTセキュリティ対策を単なるコストと捉えず、持続的に企業成長を遂げるために必要な投資と考えるべき時代が到来しているということです。IT部門とOT部門が連携し、可用性とセキュリティ強化を両立させる適切な対策を講じることが不可欠となっています。
――では、ITとOTを融合したOTセキュリティ対策を講じようとする企業に対し、三菱電機とTXOneの協業はどのようなメリットをもたらしますか。
