工場のDXとスマートファクトリー

現在、世界中でDXが推進されています。DXとはデジタルトランスフォーメーション（Digital Transformation）の略で、社会の仕組みの根幹をITによって最適化することを目指します。そんな社会の変化は工場にも及んでおり、DXの概念が導入された工場は「スマートファクトリー」と呼ばれています。

スマートファクトリーとは何か

「スマートファクトリー」自体は、ドイツ政府が提唱した「インダストリー4.0」という概念を具現化したもので、デジタル技術を中心に据えた先進的な工場を指しています。

スマートファクトリーが実現すれば、IoTやAI（Artificial Intelligence：人工知能）技術を中心に自動化、IT化が推進され、5Gの高度なインターネット技術で管理でき、工場の稼働状況のリアルタイム監視や問題があった際の制御・復旧も最適化でき、それにより生産性を高めることができると期待されています。

スマートファクトリーとセキュリティリスク

スマートファクトリーの時代には、IoT化された工場がインターネットに接続され、外部からのサイバー攻撃を受けるリスクが高まります。また、サプライチェーンを形成している工場のどこか一つでもサイバー攻撃を受けると、最悪の場合すべてのサプライチェーンに影響し、全体が停止してしまうという危険性があります。

システム停止が企業全体に影響したセキュリティインシデント

記憶に新しい事例として、2022年に起こった自動車部品のサプライヤー企業へのサイバー攻撃があります。
同社のネットワークに侵入したマルウェアが取引用システムなどの一部のサーバーを攻撃し、システム障害が発生。これにより、結果的にグループ企業の14カ所の工場の28ラインがストップし、約1万3000台の自動車の生産が見送られるという事態が起こりました。

この事例では、約6万社のサプライヤー企業のうちたった1社がサイバー攻撃を受けたことで、これだけの被害が発生しました。スマートファクトリーにおいてセキュリティ対策がいかに重要かがわかります。

工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン

こうした事態を防ぐため、日本国内においては経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を公表し、どのような対策を施す必要があるかを説明しています。

このガイドラインでは具体的に製造業の工場を想定し、どのようなセキュリティリスクが存在するか、そしてそれにどのように対処していくかということが体系的に説明されています。
例えば、IoT化された工場システムを「制御ゾーン」「生産管理ゾーン」などのように分割し、各ゾーンのセキュリティのあり方が詳細に記述されています。

これから工場のサイバーセキュリティ対策を行おうと考えている企業にとってわかりやすい指針となるでしょう。

出典：経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」

工場のサイバーセキュリティ対策の国際標準「IEC 62443」

ガイドラインに基づいてセキュリティを強化したとしても、どの程度それが達成できているかを客観的に判断することは困難です。ここでは、その達成度を測る上で参考になる指標として「IEC 62443」という国際標準規格を紹介します。

IEC 62443とは

IEC 62443とは、国際標準化団体であるIEC（International Electrotechnical Commission：国際電気標準会議）が発行している、国際標準の工場セキュリティのガイドラインです。

上述の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」は、企業などの組織におけるセキュリティの取り組みに関するガイドラインですが、IEC 62443は、工場内の自動装置や各種制御システムをサイバー攻撃による不正操作などから守ることを目的にしているのが最大の特徴です。
セキュリティ機能の実装を証明するには、第三者機関に満たしているセキュリティレベルの認証書を発行してもらう必要があります。

今後、スマートファクトリー化された工場はIEC 62443の認証を取得することが求められことになるでしょう。取得することで、セキュリティ強化が図れることはもちろん、企業の信頼も高まるため、営業活動にも役立つでしょう。

IEC 62443は、製造業はもちろん、化学、石油、ガス、電力分野などでセキュリティ対策の基準としても注目されています。

IEC 62443はどのように構成されているか

IEC 62443は以下の4つのパートによって構成されています。

(1) IEC 62443-1（概要）　対象：すべての関係者

すべての関係者向けに概要を説明したものです。用語やコンセプトなど、全パートで共通する事項の説明をしています。

(2) IEC 62443-2（ポリシー、手順）　対象：制御システムの運用管理者

アセットオーナー（工場システムの運用管理者）を対象にした、組織のセキュリティのポリシーや手順について説明したものです。

(3) IEC 62443-3（システム）　対象：制御システムの開発者

制御システムのシステムインテグレーター(SIer)向けに、技術やそれに関連するセキュリティ要件を規定したものです。

(4) IEC 62443-4（コンポーネント）　対象：制御関連製品の製品供給者

制御機器、ならびにソフトウェアなどの製品（コンポーネント）のサプライヤーが意識すべきセキュリティ事項等を規定したものです。

IEC 62443のセキュリティレベル

IEC 62443は、SL0~SL4の5段階のSL（Security Level：セキュリティレベル）を定義し、工場のセキュリティの能力を評価できるようにしています。各レベルの概要は次の通りです。

・SL0：対策なし

特になんらセキュリティ保護を行っていない状態です。ちょっとしたサイバー攻撃などのリスクにさらされることにより簡単に稼働が停止してしまう可能性があります。

・SL1：偶発的な事故やエラーがあっても影響を受けないレベル

オペレータの操作ミスレベルのインシデントには対処できる状態です。

・SL2： 基本的なサイバー攻撃に対する対抗力があるレベル

企業への犯罪行為レベルのサイバー攻撃に対抗できる状態です。

・SL3： 中程度のサイバー攻撃に対する抵抗力があるレベル

サイバーテロ組織からの攻撃など、ある程度レベルの高いサイバー攻撃に対抗できる状態です。

・SL4： 高度なサイバー攻撃に対する抵抗力があるレベル

敵対国家による、国家レベルの非常に高度なサイバー攻撃への対抗ができる状態です。

いうまでもないことですがより高いSLに認定されればそれだけサイバー攻撃に強いことの証明となります。

IEC 62443の認証を得るには

IEC 62443の認証を得るには、SLごとの基本要件を満たしていることを第三者機関が実証することが条件ですが、そのためにはコンサルティング会社などの専門家のアドバイスやトレーニング指導を受けることが有効です。また、認証は3件間有効で更新が求められるため、信頼の高いものになっています。