工場におけるセキュリティ対策の進め方・具体的な対策の例を解説

• 「どのように工場のセキュリティ対策に取り組めば良いかわからない」
• 「工場におけるセキュリティ対策の具体的な例を知りたい」

など、工場におけるセキュリティ対策の取り組み方にお悩みの企業担当者の方は多いでしょう。

物理的セキュリティ対策やシステムに関するセキュリティ対策など多角的に対策に取り組む必要があるため、それぞれのセキュリティ対策を個別に行うのでなく、経営課題の一つとして包括的に取り組むことが大切です。

 

本記事では、来訪管理受付システム「VisitView」を提供する弊社の知見を活かし、工場におけるセキュリティ対策の進め方や具体的なセキュリティ対策の例を解説します。

工場におけるセキュリティ対策とは

工場におけるセキュリティ対策とは、「工場における重要な資産を、セキュリティリスクから保護するための対策」のことです。

 

のちほど詳しく解説しますが、セキュリティ対策を推進するうえでは、以下の２つの側面の双方をバランスよく向上させることが大切です。

 

• 不法侵入を防止する物理的セキュリティ対策
• サイバー攻撃や不正アクセスなどを防止するシステム構成面でのセキュリティ対策

工場におけるセキュリティ対策の必要性

そもそも、なぜ向上におけるセキュリティ対策が重視されるようになったのでしょうか。その大きな理由には、工場システムとしてIoT化や自動化が進んだことが挙げられます。

 

これまで工場のネットワークはインターネットに接続しない内部ネットワークとして設計されていました。しかし、IoT化や自動化といったスマートファクトリーを実践することにより、インターネット上にネットワークをつなぐ機会が増加しました。その結果、外部との接続が生まれてサイバー攻撃で狙われるリスクが増加しているのです。

 

また、最近ではサプライチェーンの脆弱性も問題視されています。つまり、自社だけの問題ではなく、サプライチェーン上の企業のセキュリティリスクも、自社に被害を及ぼす可能性があるということです。

実際に、サプライチェーン上の企業がランサムウェア攻撃を受けたことで、複数の企業が被害を受けることになった事例も発生しています。

 

こうした背景から、工場セキュリティが注目されるようになっているのです。

工場におけるセキュリティ対策のガイドライン

しかし、「工場セキュリティにどのように取り組むべきかわからない」という企業担当者も多いでしょう。

 

そこで、経済産業省では2022年に工場セキュリティ対策における以下のガイドラインを発表しています。

工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0

 

まずはガイドラインを読み、セキュリティ対策の全体像を理解することがおすすめです。

工場におけるセキュリティ対策の進め方

ここでは、経済産業省が発表しているガイドラインに沿った向上におけるセキュリティ対策の進め方を解説します。

1.現状の整理

「どのように向上のセキュリティ対策を実施するのか」を決めるには、まずは現在の組織内外の状況を整理することが重要です。現状を適切に把握できていなければ、セキュリティ対策を講じても効果が得られない可能性があるためです。

 

セキュリティ対策を検討する際には、以下のような点を整理しましょう。

 

• 工場セキュリティ対策に関わる経営目標（事業伸長、事業継続など）
• 工場セキュリティに関わる組織内部の状況（セキュリティルール、ネットワークや装置・機器の構成、現在実施しているセキュリティ対策、セキュリティ体制整備、教育の実施、ソフトウェアの更新など）
• 事業継続計画（BCP）の有無（策定されている場合には内容を確認し、策定されていない場合には策定を検討する）
• ビジネス上の要求（取引先や顧客、国・自治体などからの要求、法規制への対応など）
• 標準規格やガイドラインへの準拠

 

こうした点を整理したうえで、保護対象となる機器・設備やネットワーク・データなどの抽出やリスクアセスメント（リスクの特定、分析、評価）を実施します。

2.セキュリティ対策の立案

1で整理した情報に基づいて、工場におけるセキュリティ対策の方針を策定します。その後、具体的なセキュリティ対策を、以下の2つの側面から立案します。

 

• 物理的セキュリティ対策
• システム構成面でのセキュリティ対策

 

セキュリティ対策の立案は、以下の3つの観点を考慮したうえで行うことが大切です。

 

• 侵入防止：工場システムへの不正侵入を防止すること
• 活動抑止：侵入を防ぎきれず侵入された場合であっても、攻撃活動を抑止すること
• 運用支援：工場システムへの侵入や攻撃などの活動を早期に検知・対処するための運用を支援すること

3.セキュリティ対策の実行

立案したセキュリティ対策を実行します。対策が現場において正確に実施されるように、それぞれの対策の運用ルールや手順書を作成し、関係者に定期的に周知・教育を行いましょう。

4.実行した結果を評価し、運用の見直し

セキュリティ対策を実行した結果を監査することで、工場システムのセキュリティ対策を評価します。

その際、「対策が正しく実行されたか」「対策によって期待した効果は得られているか」「新たな脅威が見つかっていないか」といった多角的な面から評価することで、今後の運用をより改善することにつながります。

工場における具体的なセキュリティ対策例

ここでは、工場における「システム構成面でのセキュリティ対策」「物理的セキュリティ対策」の具体的なセキュリティ対策例を解説します。

システム構成面でのセキュリティ対策

システム構成面でのセキュリティ対策は、主に以下の2つに対して行われます。

 

• ネットワークにおける対策：ネットワークを介した不正侵入やデータ漏えいなどのリスクへの対策
• システム面での機器における対策：機器上での不正アクセス、データ改ざん、機器の異常な設定といったリスク

 

具体的には、以下のようなセキュリティ対策を行います。

ネットワークにおけるセキュリティ対策例	構成分割：ネットワークの論理的・物理的な分割 接続機器制限：ネットワーク機器(スイッチ、ルータ)の設定 内部秘匿：ゲートウェイの導入 通信データ制限：ファイアウォール(FW)、侵入検知システム（IDS）、侵入防止システム(IPS）の導入 利用者制限：ネットワーク機器やセキュリティ機器の設定(ID／パスワード設定、認証など) 通信監視・制御：通信状況可視化・監視、侵入検知システム（IDS）、侵入防止システム（IPS）の導入、フィルタリング 構成管理：接続機器の管理 脆弱性対策：脆弱性情報収集・診断、対策（ソフトウェア更新、パッチ適用など） ログ取得：ログ取得・連携、分析の仕組み構築（振る舞い検知等異常を早期発見する機能）
システム面での機器における対策	機器の設定 セキュリティソフトウェアの実装 外付けのセキュリティ機器の導入 ネットワークへの侵入行為を運用で早期に発見するための機能の利用

 

※参照：

経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0」

物理的セキュリティ対策

物理的セキュリティ対策は、主に生産設備・制御システムなどを物理的に保護することを目的としている対策です。

例えば、建物の構造、防火・防水の強化や電源設備・制御システムの施錠管理、入退室管理などが挙げられます。

 

具体的には、以下のようなセキュリティ対策を行います。

工場の建屋に関わる対策	以下のような防水や有害生物の侵入に関する対策を行う。 建屋の外壁を配管やケーブル等が貫通する箇所は、コーキング・モルタルによる止水処理を行うこと サーバ室の天井裏や隣接室には、水を扱う部屋(トイレなど)や配管を設置しないこと。 ねずみなどの小動物の侵入を防止するため、外部に開放される窓や吸・排気口などには、網戸や金網の覆いを設置すること 外部に開放される出入口には、自動開閉式の扉や前室を設けること
電源・電気設備に関わる対策	生産設備、自動搬送・倉庫設備などとBAS(ビルディング・オートメーション・システム)とを連動させた設備監視体制を構築すること 信頼度の高い電源設備構成を構築すること
機器に関わる物理的対策	固定可能な計算機や生産ラインの制御機器において、固定を実施すること 盗難された機器がネットワークに接続されても、不正な機器として検知し、通信やデータのやり取りを防ぐような仕組みを構築すること
物理的アクセス制御に関わる対策	産業制御システムや機器の専用室を設置すること 入退管理システムを導入すること 監視カメラを設置すること 管理・監視体制を構築すること

※参照：

経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0」

 

特に、最近では不正侵入を防ぐために、入退室管理システムを導入する企業が増えています。入退室管理システムとは、「施設に出入りする人の情報を記録・管理できるシステム」のことです。

また入退室管理システムの多くは、受付機能も搭載していることから「許可のない人の工場への出入りを制限できる」ため、不正侵入の防止に役立ちます。

工場におけるセキュリティ対策を効果的に行うポイント

最後に、工場におけるセキュリティ対策を効果的に行うポイントを解説します。

正確なリスクアセスメントの実施

工場におけるセキュリティ対策を効果的に行うには、正確なリスクアセスメントの実施が不可欠です。

リスクアセスメントでは、「工場の潜在的なリスクを洗い出す」「リスクが発生した場合の影響の度合いや取り組むべき優先順位を明確にする」といったことを行います。リスクアセスメントの結果は、セキュリティ対策の内容を決める際の判断材料として利用します。

 

つまり、リスクアセスメントの結果が間違っていた場合、セキュリティ対策の成果が得られなくなる可能性があるということです。そのため、正確にリスクアセスメントを行うことが重要なのです。

経営課題として取り組む

セキュリティ対策を工場内で成功させるためには、経営層の理解と支援が重要です。

その理由は、セキュリティ対策には費用や工数がかかるとともに、関係者が徹底して取り組むことで、ようやくセキュリティを向上できるものであるためです。いくら優れたシステムや機器を導入しても、組織全体が前向きにセキュリティ対策に取り組めるように、経営層が関係者にコミットメントして取り組む必要があります。

 

そのため、企業全体の経営課題の一部として取り組むことが求められます。

社員へのセキュリティ教育の実施

社員一人ひとりのセキュリティ意識を高めることが、工場のセキュリティ対策を強化するために重要です。特に工場内でのセキュリティリスクは、人的ミスや不注意から生じることも多いため、日常的なセキュリティルールを徹底するための社員教育が欠かせません。

 

そのため、以下のような内容を含むセキュリティ教育を定期的に行いましょう。

• セキュリティポリシー
• サイバーセキュリティに関する基本的な知識
• セキュリティ機器・システムの取り扱い方法

物理的セキュリティ対策の向上には、来訪者管理システム「VisitView」の導入を

工場には、自社の製品生産などにおける重要な技術や機器、ノウハウを示した情報資産などが多く保管されているため、物理的セキュリティを高めることが重視されています。

特に来訪者管理は、外部からの訪問者やアクセス権限のない従業員の不法侵入を防ぐことから、工場のセキュリティ対策には欠かせません。高いセキュリティ性能を誇る来訪者管理システムをお求めの場合、「VisitView」の導入がおすすめです。

 

「VisitView」は、来訪者の予約管理から入退館記録・認証・来訪ログの管理まで、一元化が可能です。
セキュリティに関する機能としては、セキュリティゲートとの連携機能や各施設にセキュリティゾーンを指定することで、案内施設に対応したカードの発行が可能な登録施設のゾーン管理などの機能を搭載しています。

 

来訪者管理システム「VisitView」について、詳しくはお気軽にお問い合わせください。

「VisitView」に関するお問合せはこちら