前提となる仮想企業像や課題などはこちらの記事で確認できます。
OT部門のDXプロジェクトの背景
XYZ電子は、3つの事業部門があり、すべてのOT(Operational Technology/運用制御技術、以下OT)部門を有しているが、ここでは、映像機器事業部のOT部門のDXプロジェクトである「映像機器部門の生産効率化(IoT/AI)」の実施に向けたセキュリティ対策の検討を例にとって説明する。
このDXプロジェクトは、経営層の視点では、2025年のグループ連結売上500億円という経営目標を達成するための最重要プロジェクトである。映像機器部門では、組み立て工程後半での基盤のはんだ不良による生産性低下が大きな課題となっており、これらの早期発見のために、画像センサーとクラウド(AI)を活用した不良品検知システムを導入することにした。映像機器事業部のOT部門内に、DXプロジェクトチームが発足しており、システム導入を支援するSIとともにプロジェクト検討を進めている。
工場から直接クラウドにつなぐことに対しては、現場からセキュリティ上の懸念があったが、経営層の強力な意思のもとに、その反対を押し切ってプロジェクトが進んでいる。OT部門内にセキュリティに詳しい人がおらず、SIからのシステム提案に問題ないかどうかがわからないので助けてほしいという相談をITセキュリティ部門が受けたとしよう。
OT部門との相互理解を進める方法1 脅威シナリオ共有
このような相談に対して、まずITセキュリティ部門が最初に支援すべきことは、このDXプロジェクトによるセキュリティリスクは何かを、OT部門に正しく認識してもらうことである。つまり、歩留まり向上のため、工場を外部に接続したときに発生するセキュリティ脅威シナリオを検討し、その結果起こりうるリスクを明らかにすることである。その脅威シナリオとリスクの分析結果を図に示した(図1)。
ここでは、ベンダーの管理するクラウドが攻撃者に乗っ取られて、そこからマルウェアを送り込まれるということを想定している。OT部門の人は、SIから、「ベンダー管理クラウドと工場とはVPNで接続されているから安全です」という説明を受けているかもしれない。しかし、ベンダー管理クラウドが乗っ取られてしまえば、VPN経由で「安全に」マルウェアを運ばれてしまうのだ。このような気づきはITセキュリティ部門の助けがあるからこそ生まれるものだ。
また、初期導入を検討している工場Aだけでなく、工場B、Cにもマルウェアが拡散するおそれがあり、最悪、すべての工場の操業が停止するというリスクがあるという結果が得られたが、この点もOT部門では気づきにくいリスクだ。このような脅威シナリオのシミュレーションをOT部門の人達を交えて行うことで、ITセキュリティ部門の人たちもOTネットワークについて学ぶことができ、次の対策検討に生かすことができる。
[クリックすると拡大]
