1. HOME
  2. ブログ
  3. 編集部
  4. 山口県発・サプライチェーンセキュリティ強化モデルとは 〜 JAPANSecuritySummit 2025レポート

山口県発・サプライチェーンセキュリティ強化モデルとは 〜 JAPANSecuritySummit 2025レポート

編集部

OTセキュリティを“現場リスク起点”で再定義するフォーティネット(FORTINET)の提案

フォーティネットの佐々木氏は、「山口県発 サプライチェーンセキュリティ向上のためのビジネスモデル」をテーマに講演を行いました。本セッションでは、工場を中心としたOTセキュリティをどのように設計し、さらにそれをサプライチェーン全体へ広げていくのかについて、実践的な取り組みが紹介されました。

サプライチェーン攻撃は“経営リスク”になった

講演冒頭では、海外大手製造業がサイバー攻撃により長期の生産停止に追い込まれ、巨額の損失を出した事例が紹介されました。生産停止は単なるIT障害ではなく、納期遅延、売上減少、雇用への影響など、サプライチェーン全体へ波及します。

国内でも、取引先企業のセキュリティ状況をスコアリングし、脆弱な企業に改善を求める動きが報じられています。つまり、サプライチェーン全体のセキュリティ水準が、企業の競争力や取引継続に直結する時代に入ったと言えます。

OTセキュリティが進まなかった理由

DXの進展や脅威の高度化により、「OTセキュリティが必要」という認識は広がっています。しかし、実際の現場では取り組みが進みにくいのが現実です。

その理由を佐々木氏はこう整理します。

  • Why(なぜ必要か)は理解されている
  • しかしHow(どう進めるか)が確立されていない

多くのケースで、資産の可視化やツール導入から着手するものの、それが現場のリスク管理に結びつかず、形骸化してしまうという課題がありました。

出発点は「現場リスク」である

講演の核心はここにあります。
OTセキュリティはサイバー脅威から考えるのではなく、「現場が守るべきもの」から逆算すべきだという考え方です。

工場が本当に守るべきものは何でしょうか。

  • Safety(安全)
  • Environment(環境)
  • Quality(品質)
  • Cost(コスト)
  • Delivery(納期)

これらの現場リスクが、サイバー要因によって発生する可能性を考えることが出発点になります。

IT領域で語られる「マルウェア感染」「不正アクセス」などのサイバーリスクは、それ単体では直ちに工場停止につながるとは限りません。
重要なのは「どのシステムが、どの現場リスクに影響するか」という因果関係です。

この逆引き思考により、すべてのシステムに一律の対策を講じるのではなく、重要度に応じた対策設計が可能になります。

予防と事故対応の両輪設計

生産停止を例にすると、対策は大きく2つに分けられます。

  1. 予防(侵入・拡大の防止)
  2. 事故対応(復旧時間の最小化)

停止が長引けば、納期遅延や資金繰り悪化など経営リスクが拡大します。
そのため、許容停止時間と復旧時間を事前に設計することが重要になります。

ここでポイントとなるのは、IT部門だけで完結できないという点です。
現場の業務、在庫状況、設備構成などを理解したうえで、リスク許容度を定める必要があります。

フォーティネットが標準化した進め方

佐々木氏は、OTセキュリティ推進のための標準プロセスを提示しました。

  1. 工場の守るべきものを明確化
  2. サイバー要因で発生するシナリオを整理
  3. 現状の脆弱性を把握
  4. ギャップ分析
  5. 予防・事故対応を設計
  6. 継続的改善

特に難しいのが最初の一歩です。
現場を巻き込むために、経済産業省のガイドラインを活用したWeb診断ツールを用い、現状をスコア化して共有する仕組みが紹介されました。

この診断は目的ではなく“共通認識づくりの起点”です。
その後、ワーキンググループ形式で約9か月かけて現場主体のリスク設計を行う枠組みが確立されています。

キーワードは「サイバーセキュリティを工場の自分ごとにする」ことです。

サプライチェーンへどう広げるか

日本の製造業は裾野が広く、大企業のみが対策しても十分ではありません。
広げるためには“人材”が必要です。

そこで紹介されたのが「山口セキュアDXコア」という地域モデルです。

山口県のセキュリティ企業と連携し、

  • 脆弱性診断
  • ネットワーク機器の運用支援
  • OTセキュリティ改善支援

を地域人材で実施する仕組みを構築。
フォーティネットはノウハウと技術支援を提供し、地域側で継続的に回るモデルを目指しています。

これは「サイバーセキュリティの地産地消」とも言える取り組みです。
地方に工場がある以上、現場に近い場所で対応できる人材育成は合理的なアプローチです。

まとめ

本セミナーは、OTセキュリティを単なる技術導入ではなく、

  • 現場リスク起点で設計する
  • 予防と事故対応を両立する
  • 現場主体で回るプロセスを作る
  • その仕組みを地域で展開する

という4つの視点から再定義する内容でした。

サプライチェーンセキュリティは、もはやIT部門だけの課題ではありません。
工場の現場リスクと直結する経営テーマです。

フォーティネットの取り組みは、OTセキュリティを「技術」から「仕組み」へと昇華させ、さらにそれを地域モデルとして実装しようとする挑戦と言えるでしょう。

今後、この“現場起点の標準化モデル”がどこまで広がるのかが注目されます。

関連記事

【新着記事】