IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。デジタルトランスフォーメーション(DX)の進展により、これまで閉鎖的だったOT環境が外部ネットワークに接続されたことで攻撃対象領域が拡大し、新たなセキュリティリスクが生まれています。「医薬品の安定供給」という社会的使命を担う製薬業界、その高度な品質管理基準が求められる製造環境において、いかにOTセキュリティを実装・維持していくかは喫緊の課題となっています。
本対談では第一三共でOTセキュリティの強化に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて、PwCコンサルティングの河合菜央が聞きました。
対談者
第一三共株式会社 テクノロジー本部 テクノロジー推進部
江口 武志氏
PwCコンサルティング合同会社 トラストリスクコンサルティング シニアマネージャー
河合 菜央
現場の理解が鍵を握る――OTセキュリティプロジェクトの推進体制とは
河合:
現在、第一三共では工場や研究所のデジタル化推進をはじめ、組織のグローバル化などを推進していますが、江口さんが現在携わる「OTセキュリティ強化」の活動がどういった背景で開始されたのか、その経緯を教えてください。
江口:
第一三共では製薬バリューチェーン全体のDXを推進しており、私が所属するテクノロジー本部でも開発後期の研究・製造・物流領域でのデータ利活用を強化しています。
私は全体の総務・運営業務および研究所の支援業務を担当しています。また、テクノロジー本部全体で取り組むプロジェクトの運営にも携わっており、その1つとして、2022年度から工場の製造や物流機能を対象にしたOTセキュリティ対策・統制機能を強化する取り組みを、グループのITやセキュリティを担う組織であるGlobal DXと共同で開始しています。
河合:
OTセキュリティ強化を開始する上で、どのような課題や難しさがありましたか。
例えば一般的に、OTはITと比較して防御する対象システムが多様な点や、そもそもシステムが各工場所管であるため、システム部門での一元管理が難しい点などもあるかと思います。
江口:
取締役会からの指示があったため経営層の理解は得られており、かつGlobal DXが予算取得支援や、セキュリティ専門性の提供、ITセキュリティ側ではどのように対応しているかの情報提供など、かなり寄り添った対応をしてくれており、活動の立ち上げ自体は比較的スムーズにできたと思っています。
一方で各工場のOTシステムについては、工場しか現状を把握していないため、OTセキュリティの主な推進主体は工場メンバーとなります。そのため最大の課題は、工場の関係者たちにOTセキュリティの重要性を理解してもらい活動に巻き込むことでした。
活動の立ち上げ時も現在も、特に各工場内の組織や、設備技術部門であるテクノロジー本部のエンジニアリング技術研究所(以下、エンジ研)など、部門長や組織長とのコミュニケーションを丁寧に行い理解と協力を得ることに注力しました。
ビジネス特性に合わせた、OTセキュリティ対策と実装アプローチとは
河合:
次にOTセキュリティの対策実装について伺います。医薬品製造にはGMP(医薬品製造品質管理基準)のような厳格な規制が存在すると思います。そのような難しい環境下でOTセキュリティ対策を導入するために、どのような工夫をされましたか。
江口:
製薬工場ではGMPに基づく厳格な品質管理が求められるため、システムに変更を加える際にはさまざまな制約があります。例えば、セキュリティ対策を導入するために構成変更をした後には、バリデーション(妥当性確認)が必要になるケースも多く、既存の製造設備やシステムへのセキュリティ対策は非常に困難です。
そのため、新棟建設やシステム改修の機会を活用し、要件定義や基本設計など、計画初期段階からOTセキュリティ対策を組み込むアプローチをとっています。
具体的には、ITとOTの境界だけでなくOT環境内部まで踏み込んだ多層防御アプローチを実装しています。例えば制御系ネットワークをリスクベースでセグメント化し、フィールド機器から業務システムまでを階層化して通信制御や通信のモニタリングをし、攻撃の侵入を防ぐとともに攻撃の早期発見に努めています。
河合:
建設の早い段階からセキュリティ対策を取り込むというのは、理論上とても有効だと思いますが、元々セキュリティを取り扱っていない部門の方たちのプロジェクトにセキュリティ要件を取り込んでもらうのは難しいことだと思います。特にどのような工夫をされているのでしょうか。
江口:
重視したのは、エンジ研との密接なコミュニケーションです。設備投資計画は常に進行していますので、その更新サイクルで新棟建設の予定を把握し、計画初期段階から積極的にアプローチするようにしました。またエンジ研の建築プロジェクトの専門人材に対してOTセキュリティの必要性を丁寧に説明して理解を得て、Global DXの協力の下で伴走しながら、彼らにセキュリティの設計の考え方などを理解してもらうことを心がけました。
第一三共株式会社 テクノロジー本部 テクノロジー推進部 江口 武志氏
運用体制とガバナンスを確立し、OTセキュリティを“日常”に
河合:
ありがとうございます。技術面で対策に取り組まれていることがよく理解できました。次に運用面について教えてください。これらの技術的対策を支えるセキュリティの管理・運用の体制はどの程度整備されていますか。また、日々の管理や監視は、どのように実施しているのでしょうか。
江口:
基本的な対策としてUSBデバイス管理やパスワード管理などの手順は整備済みです。しかし、最も重要なのはOTセキュリティのガバナンス体制の確立です。具体的には、リスクアセスメントを実施して重要システムを特定し、優先度に基づいた対策を進めるプロセスを工場内に定着させることが不可欠です。
現在は各工場で重要な一部領域からリスクアセスメントを開始していますが、これを全体に拡大していくには数年を要すると見込んでいます。特に難しいのは、システムごとに担当者が異なるため、多くの関係者を巻き込む必要がある点です。
河合:
OTセキュリティのガバナンスを浸透させる過程で、現場の方々の理解を得るためには何が必要だとお考えですか。
江口:
プロジェクトとしての公式なコミュニケーションに加え、日常的な業務の中での関係構築を重視しています。工場長や工場の管理部長、スタッフグループ長など現場のキーパーソンとの日常的な対話の中で、OTセキュリティの必要性や具体的な取り組みについて話題にし、自然な形で協力を得られるよう心がけています。
河合:
公式の場だけでなく非公式な場での対話も大切にされているのですね。
江口:
はい。現在、私たちは工場のOTセキュリティ対策に加えて、事業場で働くメンバーのエンゲージメント向上、地域共生への取り組みを進めています。現場のキーパーソンは複数の活動に関わることが多いため、これらの機会を活用し、日常会話の中でセキュリティ導入に伴う負担感などの本音を聞く機会を意識的に作ることを心掛けています。事業場の交流イベントなどでは、公式のミーティングでは言いづらい意見も引き出しやすく、そこで得た現場の声を改善につなげています。こうした非公式なコミュニケーションが、プロジェクトの成功には不可欠だと実感しています。
PwCコンサルティング トラストリスクコンサルティング シニアマネージャー 河合 菜央
グローバル展開と人材育成の両輪で“その先”のOTセキュリティを目指す
河合:
次に、グローバルな取り組みについて伺います。OTセキュリティのグローバル展開における課題や今後の展望をお聞かせください。
江口:
まず前提として第一三共では、セキュリティのグローバルでのガバナンス体制全体をGlobal DXが統括しています。Global DXは各国・各拠点に対して一定のガイダンスや枠組みは提供していますが、実際の対応は各拠点の自律性に任せている部分があります。そのため、各国でどの程度OTセキュリティ対策が進んでいるかなど、状況が見えづらいという課題があります。
この課題に対しては、各国・地域の工場担当者が集うテクノロジー本部内のグローバル会議などの機会を活用した情報共有の促進を検討しています。
設備自体の仕様や設計については法律上の制約もあり共有できること、できないことの線引きが難しいですが、基本的なセキュリティ対策のアプローチについては共有できるはずです。例えばドイツではセキュリティ対策が進んでいる拠点もありますから、日本が蓄積しているノウハウを共有すると同時に、先進的な取り組みから学ぶという双方向の情報交換も進めていきたいと考えています。
河合:
情報やノウハウを共有するためには、「どのような情報が有益か」を見極められるセキュリティ人材が必要ですよね。こうした人材の育成・確保にはどのように取り組んでいますか。
江口:
現在のOTセキュリティ分野における最大の課題は、専門知識を持った人材の確保です。この難しさの根本には、「製造現場のシステムに関する詳細な知識は、その現場で日々働いている担当者にしかない」という事情があります。つまり、OT環境の特性や運用を深く理解した人に、セキュリティの知識を一定つけてもらう必要があります。
第一三共でも、計画しているすべての新棟建設プロジェクトにおいて十分なOTセキュリティ対策を実施するには、現状の人的リソースでは足りていません。現在はエンジ研を中心にOTセキュリティ人材の育成に取り組み始めていますが、これをさらに強化・加速する必要があります。短期的には、私たちテクノロジー推進部や生産統括部からの専門的な支援体制を充実させ、製造現場の負担を軽減しながら、中長期的に現場で対応可能な仕組みと要員の育成が重要だと考えています。
また、すべてを社内で完結させるのではなく、外部の専門家による支援と現場が持つ固有の知見をどのように効果的に組み合わせるかというバランスも重要な検討点です。両者の強みを活かした体制づくりが、限られたリソースの中で効果的なOTセキュリティ対策を実現する鍵になると考えています。
河合:
最後に、改めてOTセキュリティに取り組む上で、最も重要と考えていることをお聞かせください。
江口:
繰り返しですが、OTセキュリティで一番重要なのは「人」と考えます。「なぜOTセキュリティが必要なのか」を従業員に理解してもらうことが基本です。そして「(セキュリティ担当者に)言われたからやっています」という受動的な姿勢ではなく、従業員一人一人が「この活動は何のためにやっているのか。自分の取り組みがどのように自分の仕事に役立っているのか」という本質を正しく理解することが大切です。そうでなければ、どんなに高価なセキュリティ機器を導入しても、その効果は限定的になってしまいます。
河合:
技術的な対策はもちろん必要ですが、最終的にはそれを運用する「人の意識」が決め手になるのですね。グローバル展開や人材育成を含め、長期的な視点でOTセキュリティの文化を組織に根付かせることが、医薬品の安定供給という使命を果たすための土台になることがよくわかりました。本日は貴重なお話をありがとうございました。
執筆者
河合 菜央
シニアマネージャー, PwCコンサルティング合同会社
デジタル化する工場のサイバーセキュリティ
21 results
Loading...
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
IEC 62443シリーズの概要と近年の動向
IEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。IEC 62443シリーズの概要と活用するメリット、関連する認証制度とその動向について解説します。
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
「営業秘密」の保護と利活用
営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
Loading...
