製造業において、工場などで使われている機器は、これまでインターネットと接続されておらず、配慮すべきは物理的な安全(セーフティ)でした。
しかし、企業がグローバル化し、国内だけでなく海外の工場と連携したり、配送の情報と連携した生産管理が行われたりと、工場においてもインターネットを経由して情報のやり取りをする機器(IoT機器)の数が増加してきました。
図1:世界のIoTデバイス数の推移および予測(※1)
ご存知の通りインターネットには企業内に閉じられた安全なネットワークとは異なり、ハッカーなどの外部脅威が存在しています。
既にインターネットを介した情報のやり取りを行ってきているIT分野では、様々な関連機関のセキュリティ規格などを参考として、自社向けのセキュリティ対策を実施してきました。
工場でもインターネット経由で情報のやり取りを行うようになった現在、ITの機器と同様に、これまで未対応だった脅威から工場の機器を守っていく必要があります。
従来、IT機器においてインターネット上の脅威による被害を受けていたのは主に情報資産でした。しかし今後、工場でロボットなどの機器が誤作動し、働く人がケガをしたり、製品が不良品になったりと、現実世界に対して損害を与える恐れもあります。
例えば、すでにイランでは遠心分離機がウイルスによって破損させられた事例も起こっています。(※2)
NIST(※3)などのセキュリティ機関からも、インターネットのサイバー世界と工場などの現実世界がつながってきていること、サイバー世界の負の影響(ハッカーの脅威など)が現実世界にも負の影響(工場の事故など)を及ぼす恐れがあることを発信しています。
図2:サイバーから物理への負の影響(※4)
だからといって業務を遂行するためには、サイバー世界の脅威を恐れて工場の機器をインターネットに接続しない、という訳にはいきません。
そこで、工場のセキュリティを守ることが必要になってきます。
まず参考となるのは、NIST SP 800シリーズ(※5)や、IEC 62443(※6)といったセキュリティ規格です。これらのセキュリティ規格には、IoT機器に対するセキュリティのベストプラクティス等が記載されています。(※7)
しかし、セキュリティ規格に示されるベストプラクティスの通りに、セキュリティ対策を実施すれば安全というわけではありません。自社の事情に合わせたセキュリティ対策が必要となります。
自社の事情に合わせたセキュリティ対策を実施するためには、自社の設備や製品など特有の環境や使用方法に対する理解だけでなく、セキュリティ対策検討の元となるIT分野のセキュリティノウハウ、設備や製品に対する実機評価が行えるスキルなどが必要となります。
これらのノウハウやスキルを自社で持ち合わせていない場合は、社外の有識者を活用してセキュリティ対策を行うことも有効な方法の一つです。
IoT機器に対するセキュリティ規格と有識者の知見を活用して工場のセキュリティを確保することで、インターネットを介した情報のやり取りを安全に行えるようになり、企業の発展に資することができるでしょう。
- ※1 平成28年度版 情報通信白書総務省 図表2-1-1-2 世界のIoTデバイス数の推移および予測(HIS Technology 出典)
http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h28/pdf/n2100000.pdf(外部リンク) - ※2 コンピューターウィルスStuxnet によるイラン核関連施設攻撃, 防衛研究所
http://www.nids.mod.go.jp/publication/commentary/pdf/commentary020.pdf(外部リンク) - ※3 NIST(NIST:National Institute of Standards and Technology)米国国立標準技術研究所
- ※4 「Framework for Cyber-Physical Systems Release 1.0 , NIST https://s3.amazonaws.com/nist-sgcps/cpspwg/files/pwgglobal/CPS_PWG_Framework_for_Cyber_Physical_Systems_Release_1_0Final.pdf(外部リンク)Figure 14 A CPS View:Systems of Systems」を基にNTTデータで作成
- ※5 セキュリティ関連NIST文書(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/publications/nist/(外部リンク) - ※6 IEC62443及びCSMS/EDSA規格の詳細(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/files/000026445.pdf(外部リンク) - ※7 その他、参考になるIoTのセキュリティガイドラインをいくつかご紹介します。
・「IoTセキュリティガイド標準/ガイドライン ハンドブック 2017年度版」(日本ネットワークセキュリティ協会)
http://www.jnsa.org/result/iot/2018.html(外部リンク)
・「IoT開発におけるセキュリティ設計の手引き」(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/iot/iotguide.html(外部リンク)
・「IoTセキュリティガイドライン Ver 1.0」(IoT推進コンソーシアム 総務省 経済産業省)
http://www.soumu.go.jp/main_content/000428393.pdf(外部リンク)