最新の工場に足を踏み入れると、センサが音を立て、ロボットが旋回し、ダッシュボードが点灯してリアルタイムの情報が表示されて、データが動き回っていることが感じられます。そのデジタルの鼓動は制御技術(OT)で支えられていますが、新たに機器を接続すれば、それはサイバー攻撃の新たな標的となります。最近のデータを見ると、経営幹部や現場のチームも含め、世界中のほぼすべての製造メーカがこのことを十分に認識して対応を開始しています。
ロックウェル・オートメーションの「第10回スマートマニュファクチャリング報告書」はこの変化を捉えています。この調査では、1億米ドルから数十億米ドル規模の企業を対象とし、製造業が発展している上位17カ国の意思決定者1,560人からの回答を基に、サイバーセキュリティを安全、スループット、コストと並ぶ中核となるパフォーマンス指標として位置付けています。サイバーレジリエンスが生産性の主要業績評価指標と並列に置かれることで、議論の焦点は「投資すべきかどうか」から 「投資回収をどれだけ早く証明できるか」へと変わります。
この報告書によると、製造メーカの96%がサイバーセキュリティプラットフォームへの投資をすでに始めているか、今後5年以内に投資を計画しており、半数以上がサイバーセキュリティをすでに大規模に導入しています。かつてはセキュリティをコンプライアンスのための負担と捉えていた経営幹部も今では、ネットワークを強化することで監査時間をどれだけ削減できるか、ダウンタイムをどれだけ回避できるか、AI対応のデータストリームがどれだけ迅速に利用可能になるかを問うようになっています。要するに、レジリエンスが利益の源泉となっているのです。
このブログでは、OTサイバーセキュリティを追加機能から基幹構造へと押し上げる6つの力をご紹介します。それは、1) 汎用プラットフォームの導入、2) 予算と自動化の相乗効果、3) 経営層によるリスク監視、4) セキュアバイデザインのハードウェア、5) 従業員のサイバーリテラシー、そして6) 安全とセキュリティの両面で同じ防御手段を共有する企業文化です。以下の洞察をいかすことで、プログラムのベンチマークを設定し、指標を最適化して、セキュリティへの投資を運用効率の向上につなげてください。
1. ほぼすべての製造メーカがOTセキュリティプラットフォームを導入している
調査結果: ほぼすべての製造メーカがOTセキュリティプラットフォームを導入し、64%がすでに運用しており、32%が今後5年以内の配備を計画しています。
OTセキュリティプラットフォームへの関心は、転換点を越えました。その実装が既定路線となった今、議論の焦点は投資回収へと移っています。経営幹部がベンダーに尋ねる質問も、監査時間をどれだけ削減できるか、パッチをどれだけ迅速に展開できるか、予定外のダウンタイムをどれだけ低減できるかといった内容になっています。OEEや平均復旧時間といった、運用部門と財務部門がすでに追跡している指標にリスクダッシュボードを連携させている企業が優位に立っています。
具体的な行動につながる知見
- 導入前の基準値を収集することで、最初の四半期レビューで明確なROIを証明できるようにします。
- 隠れた脆弱性をコスト削減に換算する、すなわち生産停止時間の回避やコンプライアンス対策コストの削減などに換算することで、財務部門に響く成果を提示します。
- セキュリティの健全性を生産ダッシュボードに反映させることで、セキュリティがパフォーマンスの足手まといではなく、パフォーマンスを向上させるものであることを工場の管理者が認識できるようにします。
2. サイバーセキュリティがスマートマニュファクチャリングの成功の鍵になる
調査結果: 製造メーカの53%が技術投資の主な動機としてOT資産の保護を挙げています。
回答者の半数以上はすでに大規模なセキュリティを導入しています。このデジタルトランスフォーメーションの転換により、セキュリティリーダは成長の推進役として再定義されています。予知保全、リアルタイムのエネルギー管理、AI支援型品質チェックの基盤として堅牢なネットワークを位置付けた途端に、リスク削減が収益向上の立役者となります。欧州のNIS2や米国のCISA指令などの期限が迫るなか、経営幹部の注目はさらに高まっています。
具体的な行動につながる知見
- セキュリティ投資と自動化のROIを組み合わせることで、トランスフォーメーションにより大きな予算を確保します。
- デジタル・イノベーション・チームと連携して資金調達提案を作成し、利用可能な資金を拡大します。
- 規制上のマイルストーンを活用してタイムラインを明確にし、承認プロセスを加速させます。
3. サイバーセキュリティは製造メーカにとって依然として主要な5つの外的脅威の1つである
調査結果: 回答者の30%が、サイバーリスクを最も深刻な外部障害の1つに挙げています。
経営幹部と、そのリスクを引き受ける保険会社は、サイバーインシデントが発生した場合に予想される金銭的損失、対応訓練の実施頻度とその結果、OT環境全体における管理成熟度の明確なスコア評価といった正確な指標を期待しています。そのためセキュリティリーダーは、技術的な脆弱性を、収益の損失、潜在的なダウンタイム、ブランドへの影響などのビジネス用語に置き換えて、経営幹部がサイバーセキュリティ投資を他の資本支出の優先事項と比較検討できるようにする必要があります。
具体的な行動につながる知見
- サイバー攻撃のシナリオを財務用語を使ってモデル化することで、経営幹部がリスクを一目で把握できるようにします。
- 四半期ごとに机上演習を実施して、最新の対応を習慣として維持し、監査員や攻撃者が見つける前に課題を明確にします。
- 管理計画の段階で保険会社を巻き込み、次の更新サイクルの前により良い保険料を確定できるようにします。
4. 設計段階からセキュリティ対策を組み込むためのハードウェアが注目を浴びている
調査結果: 回答者の31%が、セキュリティ制御を組み込むことでOTリスクの低減を目指しています。
コントローラレベルのアクセスルール、署名付きファームウェア、オンボードテレメトリが標準機能になりつつあります。しかし、こうしたより高度な防御手段には、セキュリティを性能仕様と同等に重視した、ファームウェアライフサイクル管理と調達の厳格な条項が不可欠です。
具体的な行動につながる知見
- すべてのRFQでセキュアブートと署名付きファームウェアの条項を必須とし、今後の資産の将来性を確保します。
- ITパッチなどのファームウェア更新をスケジュールし、ロールバック計画やテスト期間を設定して、予期しない機能停止を回避します。
- デバイスレベルのログを既存のSIEMに取り込み、早期の検出とより豊富なコンテキストの提供を実現します。
5. 「持っていると良いもの」だったサイバースキルが「不可欠な基本スキル」になりつつある
調査結果: 回答者の81%が、サイバーセキュリティの実践と基準に関する知識に高いまたは最優先の優先度を付けています。製造メーカのほぼ半数(47%)が、今後12カ月間の採用においてこれらのスキルが「極めて重要」と回答し、さらに34%が「非常に重要」と回答しています。
製造メーカ各社は、マイクロトレーニングをシフト交代時に組み込み、資格取得費用を援助し、セキュリティパフォーマンス(パッチ適用の準拠状況など)を個人評価に結び付けています。時間とともに、安全行動はロックアウト/タグアウト手順と同じように習慣化されていきます。
具体的な行動につながる知見
- 毎日の作業開始前のミーティングでサイバーセキュリティの簡単なレッスンを行い、生産性を妨げずに意識向上を図ります。
- 迅速なパッチ適用や四半期インシデントゼロの達成など、安全行動を評価することで、優れた実践を強化します。
- 職務に関連する資格(IEC 62443、CISMなど)の取得費用を援助し、社内の専門知識の育成を推し進めます。
6. 最終的なハードルはテクノロジではなく文化
調査結果: サイバーセキュリティの導入において、同等の課題として浮上しているのが、企業文化とリーダの意識です。製造メーカの25%は、変化に対する従業員の抵抗がスマートマニュファクチャリングの導入を妨げていると回答し、さらに25%が、上位意思決定者のサイバーセキュリティ意識の不足を、今後12カ月間における上層部の課題として挙げています。
知識ではなく考え方が歩みを遅らせるのはよくあることです。管理者は短期的な生産量を優先する一方で、作業者は管理項目の追加を生産工程のボトルネックと見なすかもしれません。安全に関する企業文化全体にサイバーセキュリティを組み込み、意識向上プログラムと部門横断的な訓練で支援することで、安全行動を習慣として共有することができます。
具体的な行動につながる知見
- サイバーリスクと安全リスクを同等に話し合い、認識における重要性を高めます。
- 迅速なパッチ適用サイクル、四半期インシデントゼロの達成など、セキュリティのマイルストーンを達成したチームにスポットライトを当て、良い習慣を定着させます。
- IT/OTの共同インシデント対応訓練を実施して、対応担当者はインシデントが発生する前に互いのプレイブックを把握できるようにします。
まとめ
まとめると、これらの6つのトレンドから、明確な転換点が浮き彫りになります。OTサイバーセキュリティはもはや後付けの追加機能ではなく、現代の製造業の結合組織となっています。汎用プラットフォームの導入、トランスフォーメーションに関連する投資、経営層によるリスク監視、セキュア・バイ・デザインの(設計段階からセキュリティを考慮した)ハードウェア、従業員のサイバーリテラシー、安全とセキュリティを両立させた文化の成熟が、2026年を決定付けるでしょう。現在行動を起こしている企業は、リスクを低減し、イノベーションを加速させ、お客様の信頼を強固にするでしょう。一方、行動に移らずにいる企業は、レジリエンス(回復力)、そして市場シェアを取り戻すことがより困難になるかもしれません。
調査方法
ロックウェル・オートメーションの「第10回スマートマニュファクチャリング報告書」は、ロックウェル・オートメーションと調査会社であるSapio Research社が共同で実施し、製造業が発展している上位17カ国の1,560社を対象に、管理者から経営幹部の役職にある回答者から頂いた意見を分析しました。調査対象は、消費財(CPG)、食品&飲料、自動車、半導体、エネルギー、ライフサイエンスなどのさまざまな業界で、収益が1億米ドルから300億米ドル以上の規模までバランスよく分散されており、製造業に関する幅広い視点を提供しています。このリリースで参照されているデータおよび統計は、生の調査データを情報源とし、報告書自体には含まれない場合があることに注意してください。