何から始める？ 【解説】工場セキュリティガイドライン

何から始める？ 【解説】 工場セキュリティガイドライン ~生産現場の現状から考えるOTセキュリティの始め方~ Copyright © Tokyo Electron Device LTD. All Rights Reserved.

こんなお悩みはありませんか？ ⚫ そもそも工場セキュリティガイドラインとは？ ⚫ 何から始めれば良いのか分からない ⚫ 検討を進められるだけの余力がない ⚫ セキュリティはIT部門任せでよく分からない 本資料では工場セキュリティガイドラインの内容を整理し、 具体的に何から始めれば良いかをご案内いたします。 Copyright © Tokyo Electron Device LTD. All Rights Reserved. 2

工場セキュリティガイドラインとは？ ⚫ 目的・制定背景 従来インターネットに接続されることのなかった工場システムもIoTやDX、スマートファクトリーといった概念の登場に伴い、インターネッ トに接続にデータの利活用が行われるようになってきています。 そのため工場システムもインターネットに関連するセキュリティ対策が求められております。 そうした時代の流れに伴って、経済産業省が2022年11月に策定したのが工場システムにおけるサイバー・フィジカル・セキュリティ対 策ガイドライン(以下、工場セキュリティガイドライン)です。 工場システ ムのセキュリティ対策を提示するに当たり、分かりやすさの観点から、ある工場を想定工場として設定し解説。 ⚫ 概要 工場セキュリティガイドラインは工場システムのセキュリティ対策で必要となる考え方や導入ステップを明示しております。 下記のステップで進めていくことが必要になります。 1. 内外要件（経営層の取組や法令等）や業務、保護対象等の整理（現状把握） 2. セキュリティ対策の立案 3. セキュリティ対策の実⾏、及び計画・対策・運⽤体制の不断の⾒直し（PDCAサイクルの実施） Copyright © Tokyo Electron Device LTD. All Rights Reserved. 3

ガイドラインの想定工場（1/2） 想定企業 想定組織構成 ⚫ 生産技術・管理部門 ⚫ 経営者によってDX（デジタルトランスフォーメーション）が求められている ⚫ 工作部門 ⚫ 電子機器メーカ ⚫ 営業部門 ⚫ 複数の拠点に工場が存在し、それぞれの拠点で製品を生産 ⚫ 資材部門 ⚫ 本社が管理する拠点間ネットワークで拠点同士は接続されるが、拠点内 ⚫ 品質管理部門 ⚫ ネットワークは拠点ごとに管理 ⚫ 情報システム部門 ⚫ 工場における有益な情報を見極めて収集、状態を見える化し、得られた気付きを知見・ノウハウとして蓄積 想定生産ライン 想定業務 ⚫ 生産ラインでは電子機器に組み込まれるプリント基板を生産 ⚫ 生産計画設定 ⚫ 生産性分析 ⚫ 生産自体は自動化されており、生産指示に基づいて複数機種を生産可能 ⚫ 生産（ + 検査） ⚫ トレーサビリティデータ ⚫ 段取り掛け、部品の補充などは工場の従業員が実施 ⚫ 生産状況監視（現場） ⚫ 参照 ⚫ 工場内には複数の生産ラインが存在し、それぞれ独立して異なる機種を生産可能 ⚫ 部材補充（現場へ） ⚫ メンテナンス ⚫ 生産設備（装置・機器）は設備メーカから導入し、生産技術・管理部門が生産ラインを構築・管理 ⚫ 部材購入（倉庫へ） ⚫ リモートメンテナンス ⚫ 設備の保守は設備ベンダが実施 ⚫ 自動倉庫は、設備ベンダが保守に備えてリモートで状態監視、及び現地での保守を実施 工場システム例における構成要素 想定データ ネットワーク 装置・機器（機能・プログラム） ⚫ 生産計画 ⚫ 設備状態 ⚫ 設備系ネットワーク ⚫ VPN装置兼ファイアウォール ⚫ AGV制御PC ⚫ 生産指示（生産機種・量） ⚫ 設備プログラム・パラメタ・図面 ⚫ 生産管理系ネットワーク ⚫ 無線LAN-AP ⚫ AGV ⚫ 生産レシピ ⚫ 部材在庫量（現場） ⚫ 情報系ネットワーク ⚫ MESサーバ ⚫ 自動倉庫 ⚫ 生産実績（トレサビデータ） ⚫ 部材在庫量（倉庫） ⚫ 生産ライン ⚫ 自動倉庫遠隔保守用サーバ ⚫ SCADA ⚫ OA系サーバ ⚫ 保守端末（常時非接続） ⚫ OA端末 経済産業省工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0より抜粋 https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf Copyright © Tokyo Electron Device LTD. All Rights Reserved. 4

ガイドラインの想定工場（2/2） 表1-1 ゾーンの概要 想定システム、ゾーン 名称 概要 関連する業務 ・生産(＋検査) 制御ゾーン 製品を生産するための生産ライン。制 ・生産状況監視(現場) 1 (生産現場) 御装置・機器などで構成されるゾーン ・部材補充(現場へ) ・メンテナンス 部材や完成品の運搬を行う AGVを運 2 自動搬送 ゾーン ・部材補充(現場へ) 用するゾーン 部材を保管しつつ、自動で入出庫する ・部材補充(現場へ) 3 自動倉庫 ゾーン 装置 を運用するゾーン ・部材補充(倉庫へ) ・生産計画設定 生産計画の管理、トレーサビリティデー ・生産(＋検査) 4 生産管理 ゾーン タの管理などを行うサーバ群からなる ・生産状況監視(現場) ゾーン ・生産性分析 ・トレーサビリティデータ参照 ・生産状況監視(現場) 生産状況 生産状況や設備情報の取得・見える 5 ・生産性分析 監視ゾーン 化を行う設備からなるゾーン ・トレーサビリティデータ参照 図1-1 ゾーンの定義例 ・生産計画設定 6 OAゾーン 生産に直接関係ない業務を行うゾーン ・部材補充(倉庫へ) ・生産性分析 リモートメンテナンス 設備ベンダの保守センタが、自動倉庫 経済産業省工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0より抜粋 7 ・リモートメンテナンス https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf ゾーン をリ モートで監視するためのゾーン Copyright © Tokyo Electron Device LTD. All Rights Reserved. 5

ステップ1. 内外要件（経営層の取組や法令等）や業務、保護対象等の整理 大前提として、全ての企業にそっくりそのまま当てはまるセキュリティ対策はありません。 なぜなら個々の企業によって経営方針や理念、業種・業態、また投入できるリソース(資金・人)が異なり、それによって守りたい資産が異な るためです。まずは下記の内容を整理することでどのようなセキュリティ対策が必要になるのかが適切に判断できるようになります。 経営目標の整理 外的要件の整理 内部要件/状況の整理 ⚫ 標準規格への対応 ⚫ システム⾯ セキュリティ法規制・標準規格・ガイドライン ⚫ 事業伸張 準拠等 ⚫ 運⽤・管理⾯ ⚫ 事業継続 (BCP) ⚫ ステークホルダーからの要求 ⚫ 維持・改善⾯ 国・⾃治体 / 業界/市場・顧客/取引先/ 出資者等 ⚫ 体制 ステークホルダーや、セキュリティ法規制など ⾃社の工場セキュリティに関連するシステム 適切なポイントに適切なリソースやコストを がどのような要求を出しているのか、業界の や運⽤・管理の体制の把握が必要です。 配分するためには経営目標の理解とそれに ガイドラインなどの標準規格はどのようなも 即したセキュリティ戦略を立てることが重要 例) ネットワーク構成、装置や機器、利⽤し のがありのか、⾃社の対応状況はどうか確 になります。 ているソフトウェアやサービス、それらのセキュ 認が必要になります。 リティ対策 Copyright © Tokyo Electron Device LTD. All Rights Reserved. 6

ステップ2. セキュリティ対策の立案 前述のステップ1で整理した情報を基にセキュリティ対策の立案を⾏っていきます。 しかし、対策をするにあたって完璧な対策を⾏うことは現実的に厳しく、⾃社の限られたリソースをどこにどのように配分するかの判断が重要 になります。その際重要な考えとして「 セキュリティ要求レベル」があります。 これは⾃社のシステムの「業務の重要度」とそのシステムが受ける「脅威レベル」を設定し、それらを掛け合わせたものです。この「セキュリティ要 求レベル」を基にセキュリティ対策の優先付けを⾏います。 表2-1 業務の重要度（例） 表2-2 脅威レベル[＝脅威を受ける可能性]（例） 業務重要度 定義 脅威レベル 定義 システムの誤動作や停止による、業務停止（供給停止） 脅威を受ける可能性が高い 大 システムの暴走・爆発 ・物理的／論理的アクセスが容易 休業労災 3 ・高い攻撃スキルや知識を保有していない者でも、攻撃や不正を実 施可能 システムの誤動作や停止による、業務停止(供給遅延) 中 ・極めて短時間で攻撃や不正を実施可能 不休労災 不適切な排水による環境汚染 脅威を受ける可能性が中程度はある ・物理的／論理的アクセスに一般的な制限をかけている システムの誤動作や停止による、業務混乱(供給支障なし) 小 システム不具合による、不良率の上昇やクレームの発生 2 ・一定レベルの攻撃スキルや知識を保有している者であれば、攻撃 や不正を実施可能 生産管理の不備による、原価の上昇 ・攻撃や不正の実施にはそれなりの時間を要する 脅威を受ける可能性が低い ・物理的／論理的アクセスに強い制限がかかっている 1 ・極めて高い攻撃スキルや高度な知識を保有していなければ、攻撃 経済産業省工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0より抜粋 や不正の実施は不可能 https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf ・攻撃や不正の実施には長い時間を要する Copyright © Tokyo Electron Device LTD. All Rights Reserved. 7

ステップ2. セキュリティ対策の立案 「業務の重要度」と「脅威レベル」を掛け合わせた「セキュリティ要求レベル」は以下のようになります。(表2-3 セキュリティ要求レベル（例）) このマトリクスの「高」にあたる部分から優先的に対応していく必要があります。このセキュリティ要求レベルに各ゾーンの要素を掛け合わせる ことで⾃社のセキュリティ対策の優先度が決定します。(表2-4 業務重要度、脅威レベル、セキュリティ要求レベル（例）) 表2-3 セキュリティ要求レベル（例） 表2-4 業務重要度、脅威レベル、セキュリティ要求レベル（例） 脅威レベル 業務 セキュリティ ゾーン 関係する業務 脅威レベル 重要度 要求レベル 1 2 3 大 高 高 高 制御/生産ライン 生産、検査 大 2 高 業務 中 中 中 高 重要度 制御/保守端末 生産プログラム作成 大 1 高 小 低 低 低 ⾃動搬送 部品・部材補充 大 2 高 ⾃動倉庫 部品・部材補充 大 2 高 生産管理 生産計画設定、生産指示 大 2 高 生産状況監視 生産状況監視 大 1 高 リモートメンテ リモートメンテナンス 大 1 高 OA 生産性分析 大 2 中 経済産業省工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0より抜粋 Copyright © Tokyo Electron Device LTD. All Rights Reserved. 8 https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf

ステップ3. セキュリティ対策の実⾏、及び計画・対策・運⽤体制の不断の⾒直し （PDCAサイクルの実施） 日々変化し続ける内外部の要件や脅威に対応するためにはステップ2で作成したセキュリティ対策を継続的に⾒直し、改善を実施していく必 要があります。そのためには必要に応じてステップ1から改めて取り組みを進めるなどのサイクルを回していくことが重要になります。 サイバー攻撃の 早期認識と対処 サプライチェーン セキュリティ管理 対策 (ID/PW管理、機器設定変更等) 人材育成、運用 情報共有 ルールの見直し Copyright © Tokyo Electron Device LTD. All Rights Reserved. 9

それでもどこから始めれば良いか分からない方はまずはファイヤーウォールから セキュリティの要件は個々の企業によってことなるとはいえ、PCはタブレット等や各種サーバーはレガシーOSの利⽤によりハードルが高いと いう企業が多いかと思います。 そこでまずはファイヤーウォールから導入することを推奨いたします。 下記の図3-1はガイドラインの想定工場対し、対策を⾏ったもので、実施した対策は以下のとおりです。 ⚫ OA ゾーン、生産管理ゾーン、生産状況監視ゾーン、 制御ゾーン、⾃動搬送ゾーン、⾃動倉庫ゾーンの 各ゾーンと他ゾーンの間のファイアウォール（FW）設 置による許可される通信のみの通過 ⚫ OA ゾーン、生産管理ゾーンの入室者の制限・利⽤ 者認証 各ゾーン間の通信をファイヤーウォールによって制御し 外部からの攻撃を遮断し、安全性を確保します。 図3-1 要件に対する各ゾーンでの対策（例） 経済産業省工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0より抜粋 Copyright © Tokyo Electron Device LTD. All Rights Reserved. 10 https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf

FortinetはOTセキュリティを幅広くラインナップ Copyright © Tokyo Electron Device LTD. All Rights Reserved. 11

お問合せ先 ～まずはお気軽にご相談ください～ 〒163-1034 東京都新宿区西新宿3-7-1 新宿パークタワーS34階 ☎ 03-5908-1990 ✉ cas-insidesales@teldevice.co.jp 本紙に記載された会社名、ロゴ、ブランド名、製品名、サービス名は各社の商標または登録商標です。 その他全ての商標および登録商標はそれぞれの所有者に帰属します。 CN BUhttps://cn.teldevice.co.jp 新宿:〒163-1034 名古屋:〒451-0045 東京都新宿区西新宿3-7-1 新宿パークタワーS34階 愛知県名古屋市西区名駅2-27-8 名古屋プライムセントラルタワー8階 Tel.03-5908-1990 Fax.03-5908-1991 Tel.052-562-0826 Fax. 052-561-5382 大阪:〒540-6033 つくば:〒305-0033 大阪府大阪市中央区城見1-2-27 クリスタルタワー33階 茨城県つくば市東新井15-4 関友つくばビル7階 Tel.06-4792-1908 Fax.06-6945-8581 Tel.029-848-6030 Fax.029-848-6035 Copyright © Tokyo Electron Device LTD. All Rights Reserved. 12