これまで、機械装置メーカ(OEM)にとってサイバーセキュリティは「他者の責任」とされてきました。ネットワークはエンドユーザのIT部門が担当し、工場現場のセキュリティはOT部門が管理する、という分業体制だったのです。そして機械そのものは、稼働時間、精度、安全性を重視して設計されていました。しかし、脅威を取り巻く状況が変化した今、そうした時代は終わりを告げました。
EUのサイバーレジリエンス法(CRA)やNIS2といった規制により、機器メーカは現在、直接的な義務を負うようになっています。同時に、新機械規則(New Machinery Regulation)では、機械の安全な稼働に影響を及ぼし得るサイバーセキュリティリスクへの対応を含め、安全に関する要件が強化されています。多くのOEMにとって、これは未知の領域です。求められる要件は、これまでの業務範囲を超えているだけでなく、サイバーセキュリティを考慮せずに設計・構築された製品やプロセスにも適用されるからです。
単にコンプライアンス要件を満たしたという「チェックボックスを埋める」だけの最低限の対応で済ませてしまうことは容易ですが、そうした安易な対応には代償が伴います。リスクの重大さを理解し、OTサイバーセキュリティプログラムを積極的に導入・推進する機械装置メーカこそが、競争優位性を手にすることになるでしょう。本ブログでは、OTサイバーセキュリティを競争力強化の手段として取り入れようとする機械装置メーカの皆様を支援します。
機械装置メーカに向けたOTサイバーセキュリティの捉え直し
工場の現場における安全システムを例に挙げてみましょう。安全装置は単に「起こりうる不測の事態」から身を守るためのものだ、などと主張する人は誰もいません。むしろ安全システムこそが、操業の高速化、信頼性の向上、そして長期的な稼働を可能にするものなのです。結局のところ、適切に設計された安全対策プログラムは、施設がさらなる高みを目指すための基盤となるのです。
適切に導入されたOTサイバーセキュリティも、これと同じ役割を果たします。セキュアな環境は、よりレジリエントな環境でもあります。それは、稼働時間の最大化、データの品質向上、迅速な復旧、そして確信を持った最新化の推進を支えるものなのです。
自社の業務プロセスや製品にサイバーセキュリティを組み込む機械装置メーカは、リスクを低減しつつ、より高性能で信頼性の高い製品を構築できます。OTサイバーセキュリティへの取り組みを単なる対策ではなく「好機」と捉え直すことで、時間の経過とともに価値が高まるプログラムや能力を構築することが可能になります。やがて顧客もその価値に気づき、高く評価するようになるでしょう。堅牢かつ導入が容易なターンキー型のOTセキュリティを備えた機器は、市場において明確な優位性を発揮します。
機械装置メーカにとっての選択肢と、それがもたらす影響
電力業界においても、エネルギー企業はNERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection: 北米電力信頼度協議会の重要なインフラストラクチャ保護)と呼ばれる同様の規制要件への対応を迫られました。NERC CIPが導入された際、各組織の対応は大きく2つのタイプに分かれました。すなわち、それを単なるタスク(作業)として扱うグループと、自社のプログラム(体制・仕組み)の中に組み込むグループです。
オプション1: 単なるタスクとして扱う
この分野の組織は、どの資産を保護し、どの資産を無視してよいかという点に注力していました。また、作業の負担を軽減するために、データダイオードといった回避策も導入しました。こうしたアプローチは一見有効に思えますが、ある時点で破綻をきたすことになります。
実際にこのアプローチを採用したあるエネルギー事業者は、最終的に127件ものセキュリティ違反を指摘され、1,000万ドルの罰金を科される事態に陥りました。規制当局は、不十分なトレーニング、プロセスの不備、そして内部統制の欠如をその主な原因として挙げています。その結果、同社はセキュリティ体制をゼロから再構築せざるを得なくなりました。
オプション2: プログラムへの組み込み
ある公益事業会社は、これを自社のプログラムに組み込むという選択をしました。当初、同社が保有する資産は数千件に上っていましたが、その全容は明確に把握されていませんでした。また、リスクスコアも高く、その状況について取締役会に説得力を持って説明する手段もありませんでした。
しかし、体系的なアプローチを導入したことで、資産の可視性が向上し、リスクスコアを低減させることに成功しました。その結果、取締役会からの信頼を得た上で、将来を見据えた設備投資予算を主体的に策定できる体制を整えるに至りました。
機械装置メーカにとってのセキュア・バイ・デザイン(設計段階からのセキュリティ確保)とは
OTサイバーセキュリティの要件を、「内部セキュリティ」「製品セキュリティ」「ライフサイクル管理」という3つの明確なフェーズに整理して捉えることが有益です。
これらの領域は、NIS2、新機械規則、サイバーレジリエンス法(CRA)といった欧州の主要な規制の融合によって、そのあり方が大きく形作られています。いずれの規制も、産業環境全体にわたる包括的かつエンド・ツー・エンドのサイバーセキュリティアプローチの必要性を強調するものです。CRAの必須サイバーセキュリティ要件に適合しない場合、最大で1,500万ユーロ、または全世界年間売上高の2.5%に相当する制裁金が科される可能性があります。また、NIS2違反に対しても、最大で1,000万ユーロ、または全世界年間売上高の2%に相当する制裁金が科される恐れがあります。こうした各フェーズの構築にしっかりと取り組む機械装置メーカは、競争優位性を確立し、他社との差別化を図ることができるでしょう。
フェーズ1: 内部セキュリティ
機械装置メーカが最初に取り組むべきことは、自社がセキュアな組織であることを証明することです。具体的には、説得力のあるポリシーや検証済みのプロセスを整備し、信頼に足る規格に基づいて事業を運営していることを、お客様や規制当局に対して示せるようにする必要があります。
これには、品質管理手順、ソフトウェアやファームウェアに対する4アイズ(複数名による確認)のレビュープロセス、ペネトレーションテスト(侵入テスト)、事業継続計画(BCP)の策定なども含まれます。こうした取り組みをお客様に提示できるようにすることで、他のあらゆる要素の信頼性を支える基盤が築かれます。
フェーズ2: 製品セキュリティ
この次のフェーズでは、検証可能な部品表とともに、設計段階からセキュリティが確保された機器を出荷します。これには、既知のファームウェアバージョンと、脆弱性を特定して伝達するための文書化されたプロセスが含まれます。
これは、規制基準が明確に要求する内容に最も近い段階です。製品開発の初期段階からセキュリティを考慮することが求められます。安全基準への準拠を経験してきた機械装置メーカであれば、この道のりは容易に理解できるでしょう。既にその経験が身についているはずです。OTサイバーセキュリティは、この同じレベルの規律を新たな領域に適用するものです。
フェーズ3: ライフサイクル管理
最後のフェーズは最も困難な段階です。これには、導入済みの機器(設置ベース)を長期にわたって追跡・維持・サポートする能力が求められます。機器の経年劣化、環境の変化、新たな脆弱性の出現といった状況において、機械装置メーカの責任は製品の出荷をもって終わるわけではありません。
現場で稼働している機器の状況を把握し、ファームウェアの更新を管理し、さらにお客様に対して自社機器のセキュリティ状況を明確に可視化して提示することは、継続的に果たすべき責務です。
また、これは最大の収益機会が見込める領域でもあります。既存の導入済みシステムを対象としたマネージド・セキュリティ・サービスは、特にOT (制御技術))のサイバーセキュリティを自社で管理する専門知識を持たないエンドユーザにとって、有意義かつ差別化された価値あるサービスとなります。
この分野をリードするのは、これら3つの領域を個別のコンプライアンスプロジェクトとして扱うような組織ではありません。そうではなく、3つの領域すべてを網羅する一貫したプログラムを構築し、かつ、自らの取り組みの内容とその理由を明確に説明できる組織こそが、この分野を牽引していくのです。