ブログ

サイバーセキュリティは旅であり、目的地ではありません

サイバーセキュリティ規制により、製造オートメーションとソフトウェアの継続的な更新とアップグレードが推進されます。

Computer engineer working in factory with laptop computer GUI graphic user interface technology futuristic sci fi HUD background

製造実行システム(MES)製品ポートフォリオの製品管理チームのリーダとして、私は世界中の多くの製造メーカとその課題についてやり取りしています。当社の製品は、品質と効率的な製造オーケストレーションを推進する上で重要な役割を果たしています。さらに、電子バッチ記録(eBR)や電子デバイス履歴記録(eDHR)の生成を通じて、記録システムとしての役割も果たしています。

医薬品、食品、自動車、タイヤ、バッテリ、その他多くの重要なものが、これらのシステムを使って生産されています。万が一、これらのシステムがダウンしたり、記録されたデータが漏洩したりすれば、急速に大きな問題を引き起こすことになります。

サイバーセキュリティへの関心が高まっています。ランサムウェア攻撃で報酬を得る可能性が他のほとんどの分野よりもOTの方が高いと思われるため、攻撃者はますます制御技術(OT)に焦点を当てています。

驚くべきことは、信じられないほど古いオートメーションやソフトウェアを使用している製造メーカがまだたくさんあるということです。どちらもプラントや機械の設置に伴って導入されており、稼働以来一度も触られたことがありません。

稼働中のシステムには決して触れない

「稼働中のシステムには決して触れない」というルールは、今でも製造業の哲学として広く採用されているようです。しかし、この哲学は、最新の情報を入手し、それを維持するというサイバーセキュリティのベストプラクティスのガイダンスとは一致しません。

セキュリティは旅であり、決して目的地ではありません。サイバー攻撃の対象となりうるアタックサーフェスは、継続的な改善プロセスとして減らさなければなりません。つまり、製造中に使用している製品、システム、手順を定期的にアップグレードする必要があります。これが継続的に行なわれて初めて、セキュリティのベストプラクティスが守られていることになります。

しかし、セキュリティを保つために日常的に稼動しているシステムに触れることには、コストがかかります。このコストは相当なものであり、システムが検証され、規制産業において検証された状態を維持しなければならない場合はなおのことコストがかかります。

また、製品にセキュリティが設計され、製品の全使用ライフサイクルにわたってセキュリティ態勢が継続的に改善されることを確認することを目的とした基準もあります。このため、セキュアな製品を提供できることが重要な製品ベンダーは、多大な投資を継続的に行なう必要があります。しかし、そのお客様はベンダーの投資の恩恵を受けるために、更新やアップグレードに投資しなければなりません。サイバーポジションを継続的に改善するには、侵害や攻撃のリスクを軽減するために、両者が同調し続ける必要があります。ロックウェル･オートメーションのセキュア開発ライフサイクル(SDL)は、IEC 62443-4-1成熟レベル4の認定を受けています。

ロックウェル･オートメーションは最高レベルの製品セキュリティIECセキュリティ認定を取得

Cybersecurity Management - Security Certificate (CSM-CT001F-EN-E)

最近のTÜVの監査で、私が監督しているMESポートフォリオの製品チームは、ロックウェル･オートメーションのSDLに準拠していることが認められました。 

最新の状態を維持するためのアップグレードやアップデートにかかる法外なコストには懸念があります。新しいセキュリティで保護されたバージョンがリリースされていますが、これらの新しいセキュリティで保護されたバージョンの普及率はもっと高くなる可能性があります。どうやら、製造メーカは緊急性を感じていないようです。

規制当局は、国や地域が競争上不利になる可能性を含め、セキュリティのベストプラクティスを実施しないことの影響を心から懸念しています。必要な投資が利幅を削り、短期的には競争力に悪影響を与えるため、製造メーカは必要な投資をしない可能性があります。

私は、この競争条件を平準化し、サイバーセキュリティのベストプラクティスを確実に採用しようとする規制の動きを意識するようになりました。最近、私はEUのNIS 2指令に目を通しました。この指令は、欧州連合(EU)加盟国に2024年10月までにポリシーを導入することを強制するものです。これらの規制は厳しく、広範囲に及び、2027年には完全に運用される見込みになっている重要な指令です。いくつか例を挙げます。

Annex I (重要度の高い分野)とAnnex II (その他の重要分野)には、現在当社がMESを販売しているほぼすべての分野が含まれています。期待されているのは、各国がこれらの製造メーカのリストを保管し、加盟国の所轄当局がセキュリティのベストプラクティスの実施を強制する権限を得て、セキュリティインシデントの保護と対応を支援することです。
検査やセキュリティ監査が行なわれ、データを共有しなければならないという意味で、権限は広範囲に及んでいます。警告や拘束力のある指示が出され、期限付きで措置が命じられ、その実施が監視されます。
1,000万ユーロまたは年間売上高の2%のいずれか高い方の罰金を課すことができます。
管理職は(公正な裁判を経て)停職処分を受けることもあります。
少なくともEUでは、サイバーセキュリティ規制により、老朽化した安全でないOTで製造し続けることは間もなく許されなくなります。責任ある管理者は個人的に責任を負います。

稼働中のシステムに触れ、継続的に改善することに長けるようになりましょう!

サプライヤと製造メーカは、最新の情報を入手し、それを維持すること、そしてそのための影響とコストを管理することに長けていなければなりません。この課題に挑戦する準備はできていますか?

公開 2024/09/10

Martin Petrick

Business Manager MES, Rockwell Automation

Martin Petrick leads the product management team responsible for the Rockwell Automation FactoryTalk MES portfolio. He joined Rockwell Automation in September 2014. He is a very experienced automation professional having designed, built, commissioned, and optimized many plants in many industries (including Chemicals, Oil Refining, Pulp and Paper, Biotechnology and Pharma). Having started his career as End User in a central engineering organization, he has since worked for three major automation vendors in various roles including: control and MES project delivery, consulting, consultative selling, product development, product management, program management and strategic account management. He has the following degrees: BSc in Electrical Engineering and MSc in Control Engineering from the University of the Witwatersrand and an MBA from the Open University.

連絡先: