“国内回帰”の資生堂が警戒する「OTセキュリティ」──全5拠点の工場と一体の体制構築で標準化を推進

生産拠点の国内新設と高まるサイバー規制が後押しに

　資生堂がOTセキュリティ強化を進めるきっかけとなったのは、国内工場3拠点の新設だったという。同社は2019年に那須工場、2020年に大阪茨木工場、2022年に福岡久留米工場を立ち上げており、「メイド・イン・ジャパン」の価値づくりにこだわっている。

　「資生堂は日本生産による商品作りにこだわり、海外生産に加え、国内は1939年に設立された大阪工場、1975年に設立された静岡の掛川工場を合わせた5拠点での生産・供給を行っています」と話すのは、資生堂の情報セキュリティ部に所属する髙橋宏美氏だ。髙橋氏は2018年に資生堂に入社後、情報セキュリティ部に所属し、国内新工場稼働プロジェクト、工場向けITトレーニング、OTセキュリティアセスメントなどを担当してきた。OTセキュリティアセスメントを実施する背景を次のように説明する。

　「1つ目は工場のIT活用促進です。新工場では、IoTやAIなど、最新技術を取り入れた最先端工場を目指し、工場とインターネット、クラウドとの接続箇所が増加しています。さらにコロナ禍以降、OT機器を遠隔からリモートメンテナンスするケースも増え、脅威侵入リスクが高まっています。

　2つ目は、標的型サイバー攻撃が高度化され、ランサムウェア被害の拡大が進んでいることです。工場もIoT化が進み、OTシステムがインターネットに接続することで、ITシステム同様、マルウェアやランサムウェアなどの脅威にさらされています。

　3つ目の要因は、グローバルのサプライチェーンリスク規制への対応です。世界各国で工場向けのセキュリティガイドラインが強化されています。2023年に米国で公表された『国家サイバーセキュリティ戦略』、2022年にEUで公表された『EU Cyber Resilience Act』、日本でも経済産業省主導による業界単位でのガイドラインが制定されました。各国のガイドラインに対応できない企業は、サプライチェーンから弾き出される恐れがあり、資生堂もセキュリティアセスメントが不可欠と考えました」

国内全5拠点の工場アセスメントを実施　説明には一工夫も

　資生堂が実施したOTセキュリティアセスメントのプロセスは以下の通りだ。

　「大きく2つのフェーズに分かれます。1つ目のフェーズはリスクアセスメント実施フェーズ。もう1つのフェーズは是正・改善フェーズです」

　アセスメントは、リモートによるヒアリングと現地調査を組み合わせ、1工場あたり6ヵ月～9ヵ月で実施する。2021年からスタートして2023年には全5拠点のアセスメントが完了したが、その際に情報セキュリティ部と工場の連携が重要なポイントとなったという。

　「情報セキュリティ部門は、全工場を現地訪問し、工場長にトップレクチャーを行いました。生産責任者に対しては、別途、工場セキュリティアセスメント説明会を実施しています。あえて説明を分けたのは、工場長と生産責任者ではそれぞれ理解してもらいたい内容、不明に感じている点が異なるからです。

　工場長には、なぜ今、工場にセキュリティ対策が必要なのかといったハイレベルな内容を理解してもらうことが重要です。OTセキュリティの重要性をメインに説明を行い、工場の目標実現のためには情報セキュリティ対策が必須である旨を説明し、理解してもらいました。一方で生産責任者は、このアセスメント活動が生産業務に影響がないのか、どの時期にどのぐらいのリソースが必要になるかといったことを気にしていました。そこで工場の役割や責任、アセスメントの流れを重点的に説明。必要な人員を前もって確保してもらい、工場内のセキュリティ体制を早期に構築することができました」