NTT Security Japan

お問い合わせ

工場スマート化のジレンマ:IT/OT融合時代に求められる「ゼロトラスト」の導入アプローチ

セキュリティマガジン

工場スマート化のジレンマ:IT/OT融合時代に求められる「ゼロトラスト」の導入アプローチ
本記事では、IT/OT融合時代に製造業が直面するセキュリティの課題と、現場で機能する「ゼロトラスト」導入のアプローチを解説します。

スマート工場の推進は、生産性向上と競争力強化の切り札です。しかし、その利便性と引き換えに、工場のサイバーリスクは急速に高まっています。「うちの工場はネットワークから切り離しているから安全」——そのような認識は、もはや通用しません。
本記事では、IT/OT融合時代に製造業が直面するセキュリティの課題と、現場で機能する「ゼロトラスト」導入のアプローチを解説します。

「隔離された安全な工場」という神話の終焉

かつて工場の制御システムは、インターネットや社内ネットワークから物理的に切り離された環境で運用されていました。
外部から直接アクセスできない以上、サイバー攻撃を受けるリスクは低い
それが長年の常識でした。

しかし今、その前提は崩れています。スマート工場化・IoT導入・リモートメンテナンスの普及により、工場内の制御機器はクラウドや社内システムと常時接続されるようになりました。生産データのリアルタイム収集、設備の遠隔監視、AIによる予知保全

これらDXの恩恵はすべて「つながること」を前提としています。

利便性を追求するほど、工場ネットワークの「出入口」は増え続けます。 エアギャップという盾はすでに消滅しつつあり、隔離に頼ったセキュリティ対策だけでは工場を守れない時代が到来しています。

IT/OTの融合がもたらす「攻撃面の拡大」

従来の工場では、PLC(プログラマブル・ロジック・コントローラ)やSCADA(監視制御システム)などの制御機器は、Modbus・PROFINET・EtherNet/IPといった産業用独自プロトコルで通信していました。外部からの接続を前提としていないため、ITセキュリティのノウハウが通用しない一方で、外部攻撃を受けにくい構造でもありました。

ところがスマート化の進展により、制御機器はIPネットワークに接続され、標準的なIT技術を使って通信するケースが増えています。これが意味するのは、ITネットワーク側に存在する脆弱性が、そのままOT側にも波及するリスクです。

  • 社内PCへのマルウェア感染 → 同一ネットワーク上の制御システムへ横展開
  • リモートメンテナンス用VPNの認証突破 → 生産ラインへの直接侵入
  • サプライヤー・保守ベンダー経由の侵入(サプライチェーン攻撃)

製造業を狙ったランサムウェア攻撃が急増している背景には、まさにこの「攻撃面の拡大」があります。工場が止まれば損失は甚大であるため、身代金要求に応じやすい標的として狙われやすいのです。

工場における「ゼロトラスト」の現実解とは?

「ゼロトラスト(Zero Trust)」とは、「内部ネットワークだから安全」という前提を捨て、すべての通信・アクセスを検証するセキュリティ思想です。ITの世界では多要素認証や継続的なデバイス検証、頻繁なパッチ適用が標準的な実装手段として浸透しています。

しかし、工場にそのままIT式のゼロトラストを持ち込むと、深刻な問題が生じます。

  • パッチ適用のためにシステムを再起動 → 生産ラインが止まる
  • 認証処理の遅延 → リアルタイム制御に支障が出る
  • 旧型PLCはソフトウェア更新不可 → そもそも対応できない

OT環境では、「可用性(止めない)」が最優先です。ITセキュリティの常識をそのまま適用しようとすると、現場から強い抵抗を受けるだけでなく、生産性への実害が発生します。

では、工場に適したゼロトラストの実装とは何か。NTTセキュリティ・ジャパンは、以下の2点を出発点として推奨しています。

① 資産の可視化——「何がつながっているか」を把握する

ゼロトラストの前提は「すべての資産を把握すること」です。工場では、追加・更新を繰り返した結果、誰も全体像を把握していない制御機器やネットワーク構成が珍しくありません。

まず、ネットワークに接続されているすべての機器(PLC、HMI、サーバー、IoTデバイスなど)を自動検出・リスト化し、通信パターンを可視化することが第一歩です。これが「STEP1:現状把握と評価」に相当し、以降のセキュリティ施策すべての基盤となります。

② マイクロセグメンテーション——ネットワークを「区画化」する

可視化の次は、ネットワークを細かく分割する「マイクロセグメンテーション(Micro-segmentation)」です。生産ライン別・工程別にネットワークを論理的に分離することで、万一マルウェアが侵入しても被害範囲を最小限に封じ込める構造を作ります。

IT系ネットワークとOT系ネットワークの境界には、産業用ファイアウォールや一方向通信デバイス(データダイオード)を配置し、必要な通信のみを許可するホワイトリスト制御を導入することが効果的です。

「止まらない工場」を守るセキュリティ製品の選び方

OT環境に適したセキュリティ製品を選ぶ際、最も重要な基準の一つが「パッシブ(受動型)監視」への対応です。

通常のITセキュリティ製品は、ネットワークに対して積極的にスキャンや検査パケットを送信します。しかしOT環境では、この「能動的な検査」そのものが制御通信を阻害し、誤動作や停止を引き起こすリスクがあります。

パッシブ監視型のOT-IDS(侵入検知システム)は、制御通信に一切干渉せずトラフィックをミラーリングして分析します。生産ラインへの影響ゼロで、異常通信・不正アクセス・マルウェア活動をリアルタイムで検知できるため、OT環境への導入に適しています。

製品選定の観点としては以下を確認してください。

  • 産業用プロトコルへの対応(Modbus、PROFINET、EtherNet/IP、OPC-UAなど)
  • OTネットワーク特有の通信パターン学習機能(ベースライン逸脱の検知)
  • エージェントレスでの動作(機器への追加インストール不要)
  • SOC(セキュリティ運用センター)との連携対応

まとめ:DXの成功は、OTセキュリティの担保があってこそ

スマート工場・DXの取り組みは、生産効率や競争力向上のために不可欠です。しかしその基盤となるIT/OT融合は、同時に工場のサイバーリスクを構造的に高めます。

DXの推進とセキュリティ確保は、トレードオフではありません。
資産の可視化・ネットワークのセグメンテーション・パッシブ監視の導入というステップを踏むことで、「止まらない工場」を維持しながらゼロトラストの考え方を現場に根付かせることができます。

工場のサイバーセキュリティは、もはや情報システム部門だけの課題ではありません。生産技術部門・経営層が一体となって取り組むべき、事業継続(BCP)の中核をなす経営課題です。

自社の工場ネットワークの現状把握から始めたい方、ゼロトラスト導入の進め方にお悩みの方は、ぜひNTTセキュリティ・ジャパンにご相談ください。お客様の環境に合わせたOTセキュリティ対策をご支援します。

OTセキュリティの進め方を3ステップで解説

OTセキュリティ対策は 「現状把握と評価」から 工場の制御システムの弱点を見逃していませんか?

「セキュリティアセスメントは高価で・期間が長い・面倒」 と思っていませんか? 1.5ヶ月で完結する「アセスメントQuick」という最適解!

関連記事 / おすすめ記事

Inquiry

お問い合わせ

お客様の業務課題に応じて、さまざまなソリューションの中から最適な組み合わせで、ご提案します。
お困りのことがございましたらお気軽にお問い合わせください。