
はじめに:「現場任せ」が最大の経営リスクになる時代
「工場のセキュリティは、現場の技術担当が対応すればいい」
そう考えている経営者は、今すぐその認識を改める必要があります。
国内外でサイバー攻撃による工場停止事案が相次いでいます。ランサムウェアによる操業停止が数日間続いた場合、直接的な生産損失だけで数億円規模に達するケースも珍しくありません。さらに、株価の下落、顧客や取引先からの信頼喪失、メディアへの露出による社会的信用の毀損が重なれば、その損害は計り知れません。
OTセキュリティ(Operational Technology Security)はもはや「現場の技術問題」ではなく、経営者自身が負う「法的課題・経営課題」です。
本コラムでは、世界で加速するセキュリティ法規制の動向を踏まえ、経営者が今すぐ取るべきガバナンス上の決断を解説します。
世界中で加速する「セキュリティ法規制」の網
グローバルに事業を展開する製造業にとって、海外の法規制は避けて通れない現実となっています。
欧州ではNIS2指令(Network and Information Security Directive 2)が2023年に施行され、製造業を含む重要インフラ事業者に対してサイバーセキュリティ対策の義務化と、インシデント発生時の24時間以内の当局報告が求められるようになりました。違反した場合、最大で全世界年間売上高の2%または1,000万ユーロという高額制裁金が科せられます。EU域内に拠点や取引先を持つ日本企業も、その射程から逃れることはできません。
米国ではCIRCIA(Cyber Incident Reporting for Critical Infrastructure Act)の施行規則整備が進み、重要インフラへのサイバー攻撃は72時間以内の報告が義務化される方向で動いています。国内においても、経済産業省による「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」が継続的に改訂され、製造現場のOTセキュリティ対策の実施が強く求められています。
「対策を怠っていた」という事実が、有事の際に経営陣の法的責任を問われる根拠となる時代が、すでに始まっています。
なぜIT部門と工場現場(生産技術)はすれ違うのか?
OTセキュリティが組織内で前進しない背景には、構造的なカルチャーギャップがあります。
IT部門が重視するのは「情報の機密性(Confidentiality)」です。
不正アクセスや情報漏洩を防ぐため、システムへのアクセスを厳格に制限することが基本姿勢となります。
一方、工場の生産技術部門が最優先するのは「操業の継続性(Availability)」です。
たとえセキュリティ上のリスクがあっても、「ラインが止まる対策はできない」という判断が優先されがちです。
この両者が対話しないまま放置されると、IT部門が提案するセキュリティ施策は現場に受け入れられず、工場側の設備はIT管理の外に置かれたままになります。結果として、組織全体として「誰もOTセキュリティに責任を持たない」空白地帯が生まれます。
この課題を解決するには、IT部門・生産技術部門・経営企画が横断して連携する
「工場CSIRT(Computer Security Incident Response Team)」や「PSIRT(Product Security Incident Response Team)」といった組織横断型の体制構築が不可欠です。両者のKPIを調整し、OTセキュリティを「IT側の問題」でも「現場側の問題」でもなく、経営課題として一元管理する仕組みが求められています。
経営者が今すぐ下すべき3つの決断
法規制の強化と組織の構造課題を踏まえ、経営者には以下の3つの意思決定が求められます。
決断1:経営トップ直轄でのIT/OT統括組織の設置
OTセキュリティの推進は、IT部門だけに任せておける課題ではありません。CISOや最高リスク責任者(CRO)が主導する形で、IT・OT・経営企画を統括する横断組織を設置し、経営トップが直接ガバナンスを効かせる体制を整えることが第一歩です。
決断2:OTセキュリティを「コスト」ではなく「事業継続への投資」と再定義
セキュリティ予算をコストセンターとして削減対象に見るのではなく、事業継続計画(BCP)の中核をなす経営投資として位置づけ直すことが重要です。工場停止1日あたりの損失試算をもとに、投資対効果(ROI)で語ることで、予算承認の優先度も変わります。
決断3:有事の際のインシデントレスポンス体制の構築
攻撃を「防ぐ」だけでなく、「侵害された後にどう対応するか」を事前に設計しておくことが法規制対応の観点からも必須です。初動72時間の対応手順、報告ラインの明確化、外部専門機関との連携体制を今のうちに整備しておくことが、有事の際の被害最小化と法的責任の軽減に直結します。
まとめ:サプライチェーンのリーダーとして選ばれ続けるためのガバナンス
2026年は、OTセキュリティが「任意の取り組み」から「経営上の義務」へと完全に転換する分水嶺となるでしょう。
NIS2指令やCIRCIAに象徴される国際的な規制強化は、グローバルサプライチェーンに組み込まれた日本の製造業にも直接的な影響を与えます。
セキュリティガバナンスの成熟度は、今後のパートナー選定や取引継続の条件として評価される時代が来ています。
「うちには関係ない」と傍観していた企業が、サプライチェーンから外される
そのリスクはすでに現実のものとなりつつあります。
NTTセキュリティ・ジャパンは、現状把握から体制構築・インシデント対応まで、経営層と現場の両方を視野に入れたIT/OT融合セキュリティガバナンスの構築を支援しています。まずは自社のOTセキュリティ現状を把握することから、一歩を踏み出してみてください。


OTセキュリティ対策は 「現状把握と評価」から 工場の制御システムの弱点を見逃していませんか?
「セキュリティアセスメントは高価で・期間が長い・面倒」 と思っていませんか? 1.5ヶ月で完結する「アセスメントQuick」という最適解!

