製造業への脅威は、もはや机上の空論ではありません。ランサムウェアグループは、企業データベースよりも生産ラインの方が交渉材料として価値があることを認識しています。シフトが稼働できない場合、そのコストは時間単位で測定可能です。遊休設備、受注遅延、契約上の違約金、そして初期インシデント発生後も長期にわたり増大する復旧作業など、その影響は甚大です。攻撃者は、まさにこの計算式を悪用しているのです。

製造業が攻撃者にとって魅力的であると同時に、そのセキュリティ対策が極めて困難である理由があります。かつて物理的に分離されていたITネットワークとOTネットワークは、リモート監視、ベンダーアクセス、MESとERP間のデータ連携、クラウドホスト型SCADAインターフェースなどにより、意図的に接続されるようになりました。可視性を向上させる各統合は、同時に新たな侵入経路を生み出します。レガシーなPLCや旧式のSCADAシステムは、認証や暗号化ではなく、可用性と長寿命を重視して設計されています。これらはエンタープライズITと同じスケジュールでパッチを適用できず、多くの場合、全くパッチを適用できないこともあります。工場管理者が10年間頼りにしてきたエアギャップは、接続された工場ではもはや存在しません。

グラディオンは、DACH地域およびアジア太平洋地域の製造環境に対し、IEC 62443の評価と導入に関する豊富な経験を提供します。OTにおける優先順位は、安全性、可用性、機密性の順であり、一般的なITセキュリティテンプレートからではなく、生産現場から対策を開始します。最初の2つのいずれかを損なうセキュリティ制御は、許容されるソリューションではありません。

提供サービス

IEC 62443 評価と導入

IEC 62443は、産業用オートメーションおよび制御システムセキュリティに関する国際標準です。これは、製造業組織がOT環境全体のセキュリティを評価、文書化、統制するために必要な構造化された言語を提供します。グラディオンは、IEC 62443-3-3の目標セキュリティレベルに対するセキュリティレベル評価を実施し、実際の生産トポロジーを反映したゾーンおよびコンジットアーキテクチャを設計し、OTネットワークに適したアクセス制御フレームワークを導入します。その成果は、単なるスライド資料ではなく、監査可能なセキュリティアーキテクチャです。

OTネットワークセグメンテーション

生産ネットワークを企業ITから分離するには、単なるファイアウォールルール以上のものが必要です。グラディオンは、Purdueモデルを参照フレームワークとしてセグメンテーションアーキテクチャを設計し、レベル0のフィールドデバイス、レベル1/2の制御システム、レベル3の製造オペレーション、およびレベル4の企業IT間の明確な境界を定義します。産業用DMZ設計、適切な単方向ゲートウェイ、および産業グレードのファイアウォール導入も実装の一部です。目標は、IT側での侵害が発生した場合に横方向の移動を封じ込め、生産現場が稼働し続けることです。

ベンダーおよび保守作業向けリモートアクセスセキュリティ

ベンダーのリモートアクセスは、製造業におけるインシデントの最も一般的な侵入経路の一つです。そのパターンは一貫しています。保守エンジニアが共有VPN認証情報で接続し、セッションが必要以上に広範なアクセス権を持ち、かつ、実用的なフォレンジックデータが生成される形で接続がログに記録されることはありません。グラディオンは、一般的なVPNアーキテクチャを、ZscalerやPalo Alto Prismaを用いたゼロトラストアクセスモデルに置き換えます。これにより、定義されたスコープ、完全な監査ログ、時間制限付きアクセスウィンドウを備えた名前付きユーザーセッションを確立します。ベンダーは必要なものを手に入れ、ネットワークはその境界を越えて露出することはありません。

OT資産の脆弱性管理

OTの脆弱性管理は、正確な資産インベントリの構築から始まります。しかし、多くの製造現場では、このインベントリが最新かつ正確な状態で維持されていません。 グラディオンは、この資産インベントリを構築し、PLC、HMI、ネットワークデバイスのファームウェアバージョンを追跡します。さらに、既知の脆弱性を各資産にマッピングし、可視化します。 システムが連続稼働中である、またはベンダーサポートが終了しているなどの理由でパッチ適用が困難な場合でも、補償制御策を設計・文書化します。これには、ネットワークレベルのアクセス制限、監視体制の強化、運用手順の確立が含まれます。これにより、生産スケジュールに影響を与えるメンテナンスウィンドウを必要とせず、リスクを効果的に低減します。

生産環境におけるインシデント対応

IT環境向けに設計されたインシデント対応プレイブックは、製造現場には適しません。生産ラインを稼働させるシステムを隔離する判断は、ファイルサーバーをオフラインにする判断とは異なり、意思決定の基準が根本的に異なるためです。 グラディオンは、製造業に特化したインシデント対応プレイブックを開発します。このプレイブックは、優先順位（安全性、可用性、機密性の順）を明確にし、ITセキュリティチームとOT運用チーム間の明確なエスカレーションパスを定義します。また、セキュリティアナリストがリアルタイムでPLCロジックを理解する必要のない、事前承認された対応アクションを含みます。インシデント発生前に机上演習を実施し、プレイブックの実効性を検証します。

製造事業者におけるNIS2義務

NIS2指令の下で重要サービス事業者として分類される製造業者は、インシデント報告義務、ガバナンス要件、サプライチェーンセキュリティに関する新たな期待に直面します。これらは多くの組織にとって、これまで経験のないものです。 この規制は、食品、化学、産業機械などの分野における中規模および大規模な製造業者を対象としています。 まず、スコープアセスメントを実施することが重要です。NIS2が自社に適用されるか、どの事業体が対象範囲となるか、そして現在のセキュリティ体制とコンプライアンス要件との間にどのようなギャップがあるかを正確に把握します。

グラディオンの「サイバーセキュリティ・セーフティチェック」は、この課題に対応するための構造化されたサービスです。約3週間、コンサルティング日数6～7日で実施され、ITとOTの両方の領域を網羅します。 本サービスでは、クロスドメインの脅威評価、主要ドメインにおける赤・黄・緑の指標を用いた経営層向けリスクスコアカード、そして緊急度と実現可能性に基づいて優先順位付けされた改善計画を提供します。 ISO 27001やNIS2の監査プロセスへの準備として、また最近発生したセキュリティインシデントへの体系的な対応、あるいはM&A後のIT/OT統合時にも有効です。

実稼働環境での実績

重要インフラ向け産業安全ソリューションのグローバルプロバイダーである産業安全技術をリードするグループ社は、デジタルトランスフォーメーションを推進するため、グラディオンと協業しました。 産業安全技術をリードするグループ社の環境は、製造業のサイバーセキュリティが抱える特有の課題を象徴しています。それは、機能安全と情報セキュリティが交差する領域であり、制御システムへの変更は、単なるダウンタイムだけでなく、物理的な安全性にも直接的な影響を及ぼす可能性があります。このプロジェクトでは、両側面への深い理解が求められました。

航空宇宙および防衛OEM向けに部品を供給する精密製造業者であるSenior Aerospace Thailand社は、Infor CloudSuite Industrial上に構築されたデータ管理および生産分析を含む工場ソフトウェアエコシステムの近代化において、グラディオンと協業しました。 精密製造環境では、わずかな許容誤差で稼働しているため、予期せぬシステムの中断は重大な結果を招きます。このプロジェクトは、信頼性とセキュリティが不可分である生産環境におけるグラディオンの豊富な経験を明確に示しています。

お問い合わせ

お客様が最も懸念されている生産環境や統合ポイントについてお聞かせください。貴社に最適なセキュリティアセスメントのスコープを策定いたします。