ニュース&トピックス

  1. HOME
  2. ニュース&トピックス
  3. 【ウェビナーレポート】DXで"工場停止リスク"が急拡大...OTセキュリティは「見える化だけ」では守れない

2026.06.17 お知らせ 【ウェビナーレポート】DXで"工場停止リスク"が急拡大...OTセキュリティは「見える化だけ」では守れない

*本レポートは、2026616日付け「ビジネス+IThttp://www.sbbit.jp)」掲載記事の転載です。

DX(デジタルトランスフォーメーション)の推進は、製造現場に革新をもたらす一方で、「工場のネットワーク化」という新たなサイバーリスクを生み出した。ひとたびインシデントが起きれば、被害は情報漏えいにとどまらず、サプライチェーン全体を巻き込んだ「操業停止」という致命的な事態に直結する。事業継続を揺るがすこうした危機を防ぐために、いま現場が直面する課題と取り組むべき対策の要点をひもとく。

画像1.jpg

製造現場を脅威から守る、DX時代のセキュリティ対策と実践手法
(画像:Gemini/Nano Banana




顕在化するOTセキュリティのリスクと課題

 これまで製造現場の機器を動かす運用・制御技術(OTOperational Technology)は、外部ネットワークから切り離された"クローズドな環境"に置かれてきた。この「閉ざす」アプローチによってサイバー攻撃を遠ざけ、工場にとって最重要である「システムを停止させず、常に稼働し続ける状態(可用性)」を担保してきたのが、かつての常識だ。

 しかし、DXの波がその前提を根底から覆した。生産の効率化やデータ活用を実現すべく工場のIT化が進み、社内のOA環境やクラウドサービスとの接続が不可欠となっている。さらに、保守用USBメモリの現場への持ち込みや、メンテナンス業者による外部からのネットワーク接続も今や日常の光景だ。つまり、効率化と引き換えに「安全だったはずの自社の生産環境が、気づけば外部の脅威と地続きになっている」という劇的な変化が起きているのだ。

 実際に、製造業を標的とした深刻なセキュリティインシデントが多発している。ある自動車メーカーの事例では、サプライチェーンを構成する取引先企業がサイバー攻撃を受けた結果、部品供給に支障が生じ、国内の全工場が1日間の操業停止に追い込まれた。また、別の事案では、大規模なシステム障害によって生産や物流、受発注システムが広範囲にわたって機能不全に陥り、製品の流通が滞るという甚大な被害が発生している。

 これらの事象は、単なる情報漏えい事故にとどまらず、企業の根幹である「本業の停止」に直結することを意味している。自社の工場だけでなく、サプライチェーン全体を視野に入れた堅牢なセキュリティ管理が急務となっているのだ。

 だが、ここで1つのジレンマが生じる。ネットワークを強固に守ろうとするあまり、厳格なセキュリティ制限によって工場の命綱である「稼働(可用性)」を落としてしまえば本末転倒だからだ。絶対に稼働を止められないOT環境において、現場は具体的にどう対策を進めるべきなのだろうか。

ITとOTで異なるセキュリティの優先順位

 製造現場にセキュリティ対策を導入する際、まず理解しなければならないのが、ITシステムとOTシステムにおける「優先順位の違い」である。兼松エレクトロニクスでネットワークユニット ビジネス推進第一グループに所属する佐藤聡一郎氏は、次のように指摘する。

ITOTでは、セキュリティの優先順位が異なります。IT環境では機密性、完全性、可用性の順に重視されますが、常に生産を続けて利益を上げなければならないOT環境では、可用性が最優先となり機密性と可用性の優先度が入れ替わります」(佐藤氏)


画像2.jpg

兼松エレクトロニクス
ネットワークユニット
ビジネス推進第一グループ
佐藤 聡一郎 氏


 ITシステムにおけるセキュリティの主目的は、個人情報や企業機密といったデータの保護である。そのため、情報漏えいや改ざんを防ぐ「機密性(Confidentiality)」と「完全性(Integrity)」が最優先され、システムの稼働を維持する「可用性(Availability)」はその次となる。

 一方、OTシステムが守るべき対象はモノ(設備機器)であり、サービス(連続稼働)である。工場をいかに止めずに稼働させ続けるかが至上命題となるため、何よりも「可用性」が最優先され、次いで「完全性」「機密性」という順序になる。

 さらに、システムのライフサイクルにも大きな違いがある。ITシステムは数年単位で更新され、セキュリティパッチも定期的に自動適用されるのが一般的である。しかし、OTシステムは10年から20年以上という長期にわたって運用されることが多く、稼働を止めてパッチを適用することが極めて困難である。

 また、現場では古いOSが稼働しており、新たなソフトウェアやウイルス対策ソフトをインストールできない環境も珍しくない。


画像3.jpg

情報漏えいだけでなく、国内の工場が操業停止に追い込まれるなど、
サプライチェーン全体に影響を及ぼすサイバー攻撃が多発している

 こうした背景から、OTセキュリティの推進には、国際基準に基づいた体系的なアプローチが求められる。経済産業省のガイドラインのベースともなっている制御システムのセキュリティに関する国際規格「IEC 62443」では、システム全体を複数のレベルに分け、ゾーンごとに適切なセキュリティ対策を講じることが推奨されている。

 具体的には、生産工程をレベル0、コントロールをレベル1、監視および監督をレベル2、オペレーション管理をレベル3とし、企業ネットワークであるレベル4やインターネット接続環境のレベル5との間には、「IT-OT DMZ(非武装地帯)」と呼ばれるレベル3.5の境界を設けることが定義されている。

 ITからOTへ、あるいはOTからITへ接続する際は、直接つなぐのではなく、必ずこのDMZを介することで、直接的なアクセスのリスクを遮断する仕組みである。


画像4.jpg

国際規格「IEC 62443」のフレームワーク。IT(レベル45)とOT(レベル03)の間に
DMZ(非武装地帯)を設け、直接的な接続を遮断する構成が推奨されている

費用対効果を高める境界防御と可視化

OTセキュリティの第一歩として多くの企業が着手するのが、IT環境とOT環境を切り離す「境界防御」である。具体的には、前述のDMZ層などにファイアウォールを設置してネットワークを分離し、外部からの不正な侵入を防ぐ手法だ。しかし、これだけで万全とは言えないのが実情である。

「従来の境界防御で用いられるファイアウォールは、ITをベースに作られたものです。そのため、IT向けの攻撃を防ぐことは可能ですが、昨今ではOTプロトコルを使った高度なすり抜けが発生しており、境界防御だけでは完全に守り切ることができなくなっています」(佐藤氏)

 工場内には、PLC(プログラマブルロジックコントローラ)や監視カメラ、無線機器など、多種多様なアセット(資産)が存在する。境界を越えて侵入を許してしまった場合、内部のどのデバイスが攻撃の標的になるか分からない。そのため、まずは工場内にどのような資産が存在しているのかを正確に把握する「可視化」が不可欠となる。

 この可視化を実現するために、OT用のIDS(侵入検知システム)などのモニタリングツールが導入されるケースが増えている。しかし、ここにも課題が潜んでいる。

「可視化を進めたものの、実際に防御まで結び付けられていないお客さまが多くいらっしゃいます。ツールを入れてアラートが上がっても管理しきれず、結果として投資が無駄になってしまうのです」(佐藤氏)

 可視化はあくまで現状把握の手段であり、それ自体が脅威を防ぐわけではない。発見されたリスクに対して、即時性のある防御策を講じることができなければ、セキュリティ対策としては不完全である。


現場の「5S」に通じるサイバーセキュリティ対策

では、可視化から防御に至るプロセスを、現場に根付かせるためにはどうすればよいのか。佐藤氏は、製造現場で馴染み深い「5S(整理・整頓・清潔・清掃・しつけ)」の概念が、OTセキュリティの考え方にも通じると語る。

OTセキュリティはIT部門だけで完結できるものではなく、現場の皆さまと一緒になって考えていく必要があります。その手順は、まさに5Sの考え方と合致します」(佐藤氏)

画像5.jpg

現場に馴染みのある「5S(整理・整頓・清潔・清掃・しつけ)」の概念に当てはめたOTセキュリティ対策の手順。
可視化(清潔まで)だけでなく、防御(清掃・躾)までを一貫して行うことが重要



 第1のステップは「整理」である。これはセキュリティにおける「資産の可視化」に該当する。工場内にどのようなデバイスが存在するのかを把握し、不要なものをネットワークから切り離して廃棄する作業である。

 第2のステップは「整頓」である。可視化された資産に対して、その重要度に応じたラベリングを行い、迅速に対応できるように分類する「重要資産の特定」を意味する。

 第3のステップは「清潔」である。ネットワークがクリーンな状態に保たれているかを確認するため、脆弱性の評価や管理を行い、「異常を検出」してアラートを上げる仕組みを整える。

 第4のステップは「清掃」である。検出された異常やリスクに対して、セキュリティポリシーや各種パッチの適用、仮想パッチ、IPS(侵入防止システム)、サンドボックスなどを用いて「修復」を行う、実質的な防御のフェーズである。

 そして最後のステップが「しつけ」である。セキュリティ教育や訓練を通じてガバナンスを効かせ、インシデントが発生した際の「脅威への対応」を組織全体で徹底する。

 従来のOT用モニタリングツールは、この5Sでいうところの「清潔(アラートの検出)」までしかカバーしていないことが多い。しかし、Palo Alto Networksが提供する「Strataシリーズ」の次世代ファイアウォールと「Device Security」のライセンスを組み合わせることで、状況は大きく変わる。

画像6.jpg

「Strataシリーズ」のファイアウォールと「Device Security」を活用した構成例。
通信ログからデバイスを識別し、自動的にネットワークをセグメント化することで、効率的な防御を実現


1つのデバイスとライセンスを活用することで、無駄な投資を抑えながら、可視化から実際の防御(ポリシー適用)までを一貫して実施できるようになります」(佐藤氏)

 このソリューションでは、ファイアウォールが取得したARPDHCPHTTPSなどの通信ログをクラウド上で解析し、IPアドレスとデバイスのマッピングを行う。

 さらに、クラウド上のデバイス辞書と照合することで、個々のデバイスに最適なセキュリティルールの推奨事項をファイアウォールに返す。これにより、サーバ、監視カメラ、プリンタといったデバイスごとにネットワークを自動的にセグメント化し、それぞれに適したセキュリティ制御をかけることが可能となるのだ。

投資を無駄にしないアセスメントの重要性

 有効なソリューションが存在するとはいえ、いきなり大規模な設備投資を行うことが難しい企業も少なくない。自社の環境において、本当にその対策が必要なのか、費用対効果が見込めるのかを経営層に説明し、稟議を通すための客観的なデータが求められる。

 そこで兼松エレクトロニクスでは、システムの構築だけでなく、事前調査としてのアセスメントサービスを提供している。

「どのような資産があり、どのような対策が必要なのかをレポートとして提出し、上申のための判断材料としていただくプレコンサルティングを提供しています」(佐藤氏)

 アセスメントでは、デバイスの台数やホスト名、OSバージョン、IPアドレスといった「資産の可視化」と、ネットワークセグメントや通信状況を把握する「ネットワークの可視化」を実施する。これらを照らし合わせることで、潜在的な脆弱性やサイバー攻撃の兆候、不正な通信を発見することが可能となる。

 製造業におけるセキュリティ対策は、単なるIT部門の課題ではなく、事業継続を左右する経営課題である。対策を進める上で最も重要なのは、工場の命綱である「可用性」を損なわずに、生産を継続しながらセキュリティレベルを向上させることだ。


※「ビジネス+IT」は、ソフトバンクグループのSBクリエイティブ株式会社によって運営されています。
※本内容は、2026年6月16日に「ビジネス+IT」に掲載された情報を転載しています。
https://www.sbbit.jp/st/article/sp/185396
※本内容は、20266月時点の情報です。本コラムに記載の情報は初掲載時のものであり、閲覧される時点では変更されている可能性があることをご了承ください。