1. HOME
  2. ブログ
  3. 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0経済産業省が策定

工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0
経済産業省が策定

経済産業省は、2022年1月に「産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)工場SWG」を立ち上げ、工場におけるサイバーセキュリティ対策について検討を進めてきた。
同検討会での議論を踏まえ、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」を策定した。

1.背景・経緯

工場システム(産業制御システム(ICS/OT)やこれらを構成する機器、及び接続されるシステム・機器) は、内部ネットワークとして、インターネット等のネットワークにはさらされないことを前提に設計されてきた。しかし、IoT化や自動化の流れの中で、個別の機械やデバイスの稼働データの利活用の可能性が広がり、新たな付加価値が生み出される取組が進められる一方で、工場等のネットワークをインターネット等のネットワークにつなぐ必要性や機会が増加することによる、新たなセキュリティ上のリスク源も増加している。また、工場DX(デジタルトランスフォーメーション)が推進されることにより、クラウドやサプライチェーンにおいて接続された製造現場におけるセキュリティも考慮しなければならない状況となっている。一方で、このようなインターネット接続の機会に乏しいと思われる工場であっても不正侵入者等による攻撃を受けるケースも発生している。

さらには、サイバー攻撃が高度化・巧妙化しており、重要な情報や金銭を目的とした標的型攻撃として特定の工場が狙われる場合もあれば、攻撃者の意図性なくたまたま攻撃した先が工場である場合もある。したがって、いかなる工場においても、サイバー攻撃を受ける可能性があることを認識する必要が出てきた。

このような状況を踏まえ、工場システムのセキュリティ対策を実施する上で、参考となるような考え方やステップを示すべく、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」を策定した。本ガイドラインを参照してもらうことで、業界・業種の事情に応じたガイドラインを作成されるなど工場へのセキュリティ対策が立案・実行し、産業界全体、とりわけ工場システムのセキュリティの底上げが図られることを目指す。

2.工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0の概要

本ガイドラインは、業界団体や企業が自ら対策を企画・実行するに当たり、参照すべき考え方やステップを「手引き」として示し 、必要最小限と考えられる対策事項として脅威に対する技術的な対策から運用・管理面の対策までを明記している。また、付録にて、関連する基準や工場セキュリティ対策のチェックリスト等、読者の参考になると考えられる情報を掲載している。

<ガイドラインの構成>

  • 1. はじめに
    • 1.1. 工場セキュリティガイドラインの目的
    • 1.2. ガイドラインの適用範囲
  • 2. 本ガイドラインの想定工場
    • 2.1. 想定工場
    • 2.2. 想定組織構成
    • 2.3. 想定生産ライン
    • 2.4.想定業務
    • 2.5.想定データ
    • 2.6.想定ゾーン
  • 3. セキュリティ対策企画・導入の進め方
    • 3.1. ステップ1:内外要件(経営層の取組の法令等)や業務、保護対象等の整理
      • 3.1.1.ステップ1-1:セキュリティ対策検討・企画に必要な案件の整理
      • 3.1.2.ステップ1-2:業務の整理
      • 3.1.3.ステップ1-3:業務の重要度の設定
      • 3.1.4.ステップ1-4:保護対象の整理
      • 3.1.5.ステップ1-5:保護対象の重要度の設定
      • 3.1.6.ステップ1-6:ゾーンの整理と、ゾーンと業務、保護対象の結びつけ
      • 3.1.7.ステップ1-7:ゾーンと、セキュリティ脅威による影響の整理
    • 3.2. ステップ2:セキュリティ対策の立案
      • 3.2.1.ステップ2-1:セキュリティ対策方針の策定
      • 3.2.2.ステップ2-2:想定脅威に対するセキュリティ対策の対応づけ
    • 3.3.ステップ3:セキュリティ対策の実行、及び計画・対策・運用方針の不断の見直し(PDCAサイクルの実施)
  • 付録A 用語/略語
  • 付録B 工場システムを取り巻く社会的セキュリティ要件
    • B-1 法規制、標準規格、ガイドライン準拠に関わる要件
      • B-1.1.法規制によるセキュリティ対策の要求
      • B-1.2.セキュリティに関わる標準規格・ガイドライン準拠の要求
    • B-2 国・自治体からの要求
    • B-3 産業界からの要求
    • B-4 市場・顧客からの要求
    • B-5 取引先からの要求
    • B-6 出資者からの要求
  • 付録C 関連文書におけるセキュリティ対策の考え方
    • C-1 代表的セキュリティ対策評価基準
    • C-2 セキュリティ対策を行う度合いの定義例
  • 付録D 関連/参考資料
  • 付録E チェックリスト
  • 付録F 調達仕様書テンプレート(記載例)

関連資料

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!