おかさんの自己紹介
明日のファクトリーオートメーションにようこそ。メインパーツを担当の高橋です。
本日はゲストに来ていただいております。ゲストのおかさん配のおかさんです。どうぞよろしくお願いします。
どうもみなさん、こんにちは。おかです。よろしくお願いします。
おかさん、今日は本当に来ていただいてありがとうございました。
今日、問いかけてもらって本当にありがとうございます。嬉しいです。
そうですね。知らない方もおられるかと思うので、自己紹介の方を一時していただいてもいいですかね。
分かりました。改めまして、みなさんこんにちは。おかさんです。おかです。
私は、去年の7月まで34年間、PLC制御機器のメーカーオムロンで、
直近14年ぐらい、PLCのプロダクトマネージャー、商品企画とマーケティングをやってまして、
特にIoTとかOPCAとか、そういったPLCの制御というよりも、
OTとITのつなぎのあたりを中心にずっと関わってきました。
で、2024年の7月に会社を辞めて、今、OTのセキュリティ、制御システムセキュリティの小さなコンサルティング会社に転職をして、
本業はセキュリティをやりながら、副業でオカビパートナーズって個人事業を立ち上げて、
今、IoTとかマーケティングのコンサルティングとか支援っていうのを副業でやってます。よろしくお願いします。
OTセキュリティの意義
はい、よろしくお願いします。というわけで、私もずっとPLCずっとやってきてますけど、大先輩ということで、
今日はいろいろお話があればいいなと思っております。よろしくお願いします。
というわけで、岡さんと何を話しようかと思ったときに、一番直近で岡さんと会ったのが、
前回のFS技術勉強会で無人に来ていただいて、発表いただいて、そのときが
11月東京であるんですよね。
そうですね、11月の東京で。そのときにセキュリティ、具体的に言うと、
マウーシュのサイバーレジエンス法案や中国のセキュリティ関係に関するご発表いただいたんですけど、
あれがなかなか今、私自身の仕事の周りでもかなりホットになってきてるというのをすごく感じていて、
そこを一つ今日のテーマにできればいいかなというふうに感じています。
というわけで、僕が入社した頃、2015年ぐらいはセキュリティなんて言われることなんてほとんどなかったというか、
2015年。
そうですね。ようやくOTの最上位ぐらいのセキュリティが言われるようになったぐらいで、
PLCのセキュリティなんてほとんど何も言われてなかったような時期に私、
OTに入ってきたんですけど、そこからちょっと一転して、すべてのデバイス、工場の中のすべてのインサーネットがつながるデバイスには
セキュリティ対策をしていきましょうという今の流れがある中で、
OT系のセキュリティの意義みたいなところが今日少し、僕自身がちょっと岡さんと話したいなと思ってたテーマなんですよ。
意義ですね。
意義ですね。そうですね。要はいろんなこと言われるじゃないですか。
セキュリティが大事なんですよって話、すごいされると思うんですけど、いろんな業界の方、もしくはWebメディアも含めてですけど、
セキュリティをやると誰が何を嬉しくなるのかっていうのはちょっといまいち僕ははっきり見れてない感じがしてて。
そこをちょっと話していきたいなと。
具体的にまず最初はちょっと岡さんに聞きたいのは、
OTネットワークの中でセキュリティがなぜ大事なのかっていうことを、
これをなんかその岡さんの考えがあればちょっとお聞かせ願えたらなと思うんですけど。
なるほどですね。
特に工場現場ですね、工場の現場。
なんでセキュリティなんですかと。
ざっくり質問になっちゃうんですけど。
一つはもう今岡さんも言われたように、
制御とか工場の現場にもイーサネット、ざっくりとイーサネット、普通のイーサネットがどんどん入ってきて、
当たり前に使い始めたという中で、
よくあるのがパソコンつないでパソコンがウイルスに感染しちゃって、
それで制御が止まりましたとか、
工場のシステムにつながっているパソコンにまたウイルスが感染をして、
実際にラインが止まっちゃうっていうめちゃめちゃネガティブな話ですけど、
そういう話っていうのは残念ながらいっぱい起きていると。
なのでそういったネットワークが普通の標準のネットワークが普及しちゃったために、
パソコンとかが現場に入っているから、
やむを得なくセキュリティに対応しないと生産が止まって偉いことになるよと。
これは残念ながら実際に起きちゃっている。
これはマイナスの話です。マイナスを食い止める話が残念ながらあるなというのと、
あとはここも微妙なんですけど、と言っても今10年前だとIoT、今だとDXと言って、
とは言っても機械とかセンサーとか現場の様子をちゃんとデジタル化して、
それを使って生産性や品質を高めましょうという取り組みもどんどんやってますよね。
今は工場を外につないで、
例えば部品メーカーと自分たちの部品の品質情報をエンドユーザーとかお客さんに送るとか、
そういった企業間の連携なんかもされたりとか、
どんどんOTの現場もインターネットに間接的を含めてつないでもっともっと価値を上げていくという取り組みをやっていると。
そうなるとそこでセキュリティーなしで、そんな人は普通はいないんでしょうけど、
じゃあ工場のPLCをインターネットについているから、
突然PLCをインターネットにつないでクラウドに出てあげますみたいなことをやっちゃうと、
一発でPLCが攻撃されたりとか止まってしまう。
つまりIoTとかデータ活用とかDXを本気でやりたいというときの必要条件として、
セキュリティーのこと、最低のセキュリティーは担保しないといけないよねと。
ここは若干DXってプラスの話に対してそれを実行する必要条件としてセキュリティーを対応しましょうというのは一つここは大きいのかなとは思いますね。
逆かね。
リモートメンテナンスとセキュリティ
そうですね。基本的によく論じられるのはマイナスな面。
これがすごいいろいろ言われるところでは当然あると思うんですけど、
これはやっぱり、多分このラジオを聞いているリスナーさんもそうなんだと思うんですけど、
PLCがウイルス感染するとか、そういうことがあんまり理解、イメージができていないと思うんですよね。
それはそうなんでしょうね。
実際僕も私もPLCが本当にウイルスに感染して止まってそれで偉いことになったという事例があるかと言われると、
いわゆるパソコンベースじゃなくて、三菱とかオムールとかKeylessとかシーメンスとかっていう、
いわゆるPLCがウイルスに感染して止まったという事例って私知るわけないと思うんですよ。
そうですね。
PLCブラスターって言ったね、2016年に。
PLCがウイルスに感染するよっていうのを実験的に試した事例っていうのがあって、
それがかなりね、PLC界隈では話題になったんですけど、
でも実際にPLCで止まるというよりも、
PLCにつながっているパソコン、PCベースのシステムが止まると。
例えば一番有名なのが2010年のスタックスネット。
イランの悪施設でシーメンスのスキャダのシステムが使われていて、
そのスキャダが乗っ取られて変な指示を出した。
で、新聞日記が壊れましたという例は有名。
あれはパソコンで動いているソフトウェアが乗っ取られて、
そいつが変な指示をPLCやインバーターに出しましたというパターンですね。
あとは2018年、これをTSMCの半導体工場が1ヶ月半止まったっていうこれも
めちゃめちゃ話題になった事例ですけど、
これも外部の装置メーカーがパソコンを持ち込んで
TSMCのOTのネットワークに差したと。
そしたらその持ち込んだパソコンがマルウェアに感染していて、
そしたらTSMC社内のPCベースのものに感染して止まりましたということなんです。
なので、PLCがウイルスに感染するっていうのは技術、論理的にはあり得るけども、
今実態として起きていない。
だけども生産現場にはPCベースのものがいっぱい入ってますよね。
なのでそいつが感染をして間接的にPLCが変な動きをさせられるというのは
ダメなのは実際に起きちゃうという感じですかね。
そうですね。なんというか、多分皆さん理解はあんまりないと思うんですけど、
PLCってめちゃめちゃ簡単に攻撃されるというか、
普通の昔のPLCっていうのはすごく簡単なイーサネットプロトコルを叩くと
内部のレジスタを簡単にオンしたりオフしたりすることができるので。
三菱とか、MCプロトコルとか、私はおもろいんですけど、
FINSプロトコルとか、ソケット通信とかね、
マニュアルミターソケット通信のコマンド乗っていて、
そいつでメモリ書き換えとかってすぐにできちゃいますもんね。
そうですね。だからIOレジスタ書き換えたらもう信号が出ちゃうので、
そういう意味では設備を壊したり、そういうことがやっぱり副次的にできちゃう。
なので、OTの、PLCの側にあるPCか何かが乗っ取られたときは、
もうそのままPLCに直接ダメージが来る可能性っていうのがやっぱり存在しているっていうことですよね。
実際に2010年、スタックスネットはシーメンスのソフトに詳しい人が、
本当に遠心分離器を制御しているインバーターに速度指令を、
突然最大速度とかっていうのをブンブンブンブン切り替えて、
遠心分離器が壊れちゃいましたっていう、そこまでやったと。
知ってる人やったらできちゃうってことですよね。
そうですね。やっぱりこれが今後どんどん拡大してくるっていうことですよね。
やっぱり今まで、コンピュータウイルスってそもそも重要がなければ作られないっていう側面あるじゃないですか。
一昔前のLinuxが安全だって言われた理由もそうですけど、
世界はWindowsシステムで回ってるから、Linuxっていうのはやっぱり数が少なくて、
だからウイルス作る人はほとんどWindowsに向けたウイルスを作りますよ。
だからLinuxは比較的安全ですみたいな話があったと思うんですけど、
それと同様にOTシステムもほとんどグローバルネットワークに繋がってないものがほとんどだったんで、
つける隙が少なくて、そもそもそんな作られませんでしたよっていう状態でしたけど、
5、6年前までは。
でも今OTネットワークが、いわゆるITネットワークに接続される例っていうのはものすごく増えてきて、
となると今後世界中のハッカーが製作するウイルスの対象にどんどんなってくるだろうということが予想されるということですよね。
防御の意味でのウイルス感染対策が必要ですよということなんですけど、
ただ何というか、世の中の流れ的にはそこまでしても繋ぎたいことがあるっていうことじゃないですか。
そこまでリスク取ってでも、OTネットワークをIT層に繋いだことによって得られる利得が高いと思っている人たちがいるっていうことじゃないですか。
そこの辺が多分日本人があまり理解できていないというか、想像が生んでいないところなんだと思うんですよね。
データを挙げたら云々かんねん、以上のことは絶対あると思うんですけど、その辺りって岡さんどうですかね。
セキュリティが万全ですみたいな話になった時に、どういう世界が岡さんをはじめとした、いわゆるOTネットワークとITネットワークを開発する人たちの中で見えているのか。
これがちょっと僕やっぱり気になるところなんですよね。
一番わかりやすい例はリモートメンテナンスなんですかね。
リモートメンテナンスって日本ではあまり普及しないけど、特に中国ヨーロッパでは当たり前、ある私が知っているヨーロッパの機械メーカーさんとか、
出荷する機械、年間に1万台ある機械の80%にも4Gのルーターが載っていますと。
リモートメンテナンスの必要性
なので特に今装置や機械を買ってLINE作って生産しているけれども、メンテナンスが十分自社でできないというお客さんが増えていると思うんですね。
人手不足とかも含めて。
だったら機械メーカーさん、装置メーカーさんに遠隔でメンテナンスをしてほしいなと。
これは日本でもどんどんニーズが高まっていて、かつ実際に多分ルーターの市場が増えていると思うんですよ。
自社でメンテナンスできないから遠隔でメンテナンスしてほしい。
だけどもセキュリティがズボズボだったらそれは怖いですよね。
そこはリモートメンテナンスをちゃんと実現するためのセキュリティ。
例えば認証、ちゃんとお互いの機器を認証して繋ぐとか、繋いだ後は暗号化をして、
変な重要なデータが外に漏れないようにする。
3つの言葉で言ったらVPNとかって言葉がありますよね。
ちゃんとセキュリティを確保して遠隔と繋ぎましょう。
そういったちゃんと最低限の技術を使って繋ぐ。
っていうのはすごいベタだけど分かりやすい外部と繋ぐ事例っていうのがあります。
あとはこれも前職のオムロンでNX101って手のひらに乗るちっちゃいPLC売ってたんですけど、
あれMQTTでクラウドに繋がるんですよね。
あのPLCは本当に例えばオーストラリアとかニュージーランドとかタイとかの人たちって、
あのPLC本当にクラウドに繋ぐんですよ。
何かというとちっちゃな工場でデータ取ってモニタリングしたりとか、
あとはその取った生産データを本社から見たいとかね。
本格的に自社で専用のクラウドシステムが構築できないぐらいの中堅企業だと、
パブリックな、一般的なパブリッククラウドを買って、
それぞれちっちゃな工場、数十人数百人規模の工場が田舎にありますとか、
どこかの島にありますとかっていう風に、これ食品工場だったんですけど、
ちっちゃな工場のちゃんと生産指示と実績収集をするのにクラウドを使うと。
じゃあPLC、すべてじゃなくて代表したPLCからクラウドデータを繋いで、
本社で一括管理をしたりとか、またクラウド上の生産指示から、
何かあったらレシピを切り替えるみたいなことっていうのは割と海外ではやられ始めて、
特に中小っていうか大企業ではないところからクラウドを繋ぐっていうのは割と始まっていて、
日本でも社員1,000人とか2,000人ぐらい自動販売メーカーさんって結構クラウドを使われてたりする。
なのでそれはひたすらデータを、まずトレースアビリティのデータを取る。
これは品質情報を取るって当たり前に今までからやられてることをクラウドでやりますとか、
クラウドで置いとくとデータを活用する。
いろんな世の中にいいソフトとかが分析したり可視化したりすると。
っていうので何かもっと品質を良くするための知見を得るみたいなやつは日本でも進み始めて、
例えば日本だとクラウドで買えるBIソフトとかあって、
例えばモーションボードとかこれご存知の方おられますかね。
有名なFAのBIとか分析見えるかソフトでクラウドベースで動いてると。
じゃあ簡単にデータを分析しようと思うと現場のデータをモーションボードのクラウドに上げるとかね。
っていうのが表彰企業とかと今は割とやられ始めたりするのかなというのは思いますけどね。
世の中のいいソフトと組み合わせるためにはソフト側がインターネットとかクラウド、いわゆるSaaSで提供されているので、
そことつないでより生産性を上げたりとか品質を高めたりするというパターンですよね。
そうですね。やっぱり今お話を伺うければ2つあるかなと思ってて。
1つは先ほどリモート支援の話ですよね。
こういうのって今まで普通にやられてたことだと思う。
構想としては普通にいっぱいあったことだと思うんですけど、
ただやっぱりそれが本当に簡単にできるようになってきたっていうのと、
あとやっぱりそれがなんというか、今まで効率化のアイテムの1つに過ぎなかったものが、
ある領域を越えてきてビジネスの拡大につながっているようなイメージを最近僕は持っててですね。
そこが非常にいろんなメーカーだとか、
報酬権も含めて投資の対象になっている原因なんかなっていうのをちょっと思ってるんですよね。
やっぱり今までは自社工場とか、
例えば大体日本って系列じゃないですか、
系列で装置メーカーとか系列が多いんですけど、
例えば愛知県で装置を作って東北の工場に入れましたっていうときに、
結局愛知県が東北に行かなあかんからそれをリモートでやりましょうとか、
そういう系列の中のものの話だったような気がするんですよね、その効率化。
日本だと特に。
これがリモート支援が、リモートはリモート制作っていうものがもう少し格段にレベルが上がったものが仮に取れるのだとすると、
売り先がすごく広がるイメージがあります。
特に海外も含めてですよね。
クラウドシステムの利用とその影響
やっぱり今までOT系の販売の難しさ、
僕も設備製造やってるのである程度辛い思いをすることはあるんですけど、
難しい機能をとにかく積むことができないという課題があるような気がするんですよ。
要はどうやって現場で使うんですか、スキルのやつがどうやって使うんですかっていう、
ユーザーのスキルの壁、
これをやっぱり乗り越えられないから、そんな高機能なものいらんですよっていうのは、
OTの中核の課題だったと思うんですよ。
難しさもやっぱり数パターンあると思ってて、
運用の難しさっていう面とインストレーションの難しさっていうのがあると思うんですよね。
インストレーションが難しいものっていうのは、
遠隔支援である程度解決するんじゃないかなと。
基本的に今の世界的なSaaSの流れも含めですけど、
インストレーションは難しいけど、ユーザーは簡単、運用は簡単っていうのが結構増えてるじゃないですか。
非常に可視化も優れててUIも優れてて、
でも一番最初の設定がクソだるいですよみたいなのが結構多いので、
となると遠隔支援系がすごく流行って、流行ってるときは技術的なイノベーションがあって、
その後その難しさっていうのは遠隔支援によって解決されますということになれば、
世界中のメーカー、いわゆる売り先が一番おいしいところだけユーザーが享受できる可能性っていうのがあるんじゃないかなと。
それはね、工場の機械は今多分カット機かもしれないけど、
実際に起きてるのがロボット。
例えば病院とかファミリレスにいっぱいロボットいるじゃないですか。
我々の言葉で言うとAMRってやつね、自立自動ロボット。
AMRって聞いたことがあって、あのロボットの立ち上げってファミリレスの人はできない。
病院の人もできない。だけども入れるとすごいメリットがある。
ほっとけば勝手に動いてくれて、物運んだりしてくれると。
だからあれインストレーションすごい大変なんですよね、ルート設定したりとか。
あれ全部現地で全て100%現地工事エンジニアがしちゃうとペイできないので、
現地では最低限にして、あとは遠隔でされてる企業があるというのは聞いてたから、
ロボット、自走ロボット、AMRは割と今の遠隔でビジネスを拡大してるってのが起きているみたいですよ。
なるほど。今の奥さんの話聞いてすごいいろいろ思ったことがあるんですけど、
今FA系、OT系の製品っていうのが
民生に出ていくケースすごい多いじゃないですか。
食品系もそうだし、正直売れてるかどうかは置いといて、
産業ロボットがラーメン作るみたいな話も世の中にはあると。
今までってインストレーションの大変さとかから含めて、
ユーザーにすごい知識をスキルを要求したんで、
ある程度振り先にインフラが整ってないとやれなかったと思うんですよね。
それがだいぶ敷居が下がって、
導入先の潜在的な市場がかなり拡大してるようなイメージが。
それはありますね。
FAの機械とかでいうと中食ってありますよね。
お惣菜作ったりとかコンビニ弁当作るっていう工場って日本各地であって、
あとは大きなお土産物や道の駅でちょっとした工場みたいなところで
おまんじゅう作ったり袋詰めするって。
あれとか見るとじっくり。
そうですよね。
そういうのってめちゃめちゃ増えてるらしいんですよ。
その駅にPLCとコンベアのメンテナンスをする人がおけない。
あれもほぼ全て遠隔でメンテナンスされてるみたいですね。
そういう意味で食品系は進んでますよね。
パックエミュレーの事例も含めて標準化と遠隔支援というか、
実店舗が多いっていうのもあって。
OT系の中で非常に進んでる業界ですよね、食品系。
僕すごくポジティブに捉えてますね。
リモート支援っていうのは単に効率化の面以外にも。
少なくともそれが進んでいけば、自分が職運を知らなかったとしても
働き方が増えるので。
2つ目として、著書企業が参加しやすいというか、いわゆるSaaSに乗りやすいという話。
これもさっき話した話と同じ。
敷地がどんどん下がってるっていうことに対して、商社のビジネスじゃなくなってきた。
インフラがある程度整ってるとか圧倒的入位だったところが崩れてきてるっていうのはあると思うんですよ。
さっき言うと、ある程度大きな工場じゃないと設備投資でも利益が出ないとか。
そういうのから、いわゆる道の駅というか広島駅の前でもみじ饅頭をその場で作ってるような小さい工程でも
利益がちゃんと出るし、運用もできるっていうふうな。
あれって従業員5人ぐらいのスペースなので、そういうレベルでもやっぱり出ていくような形になりつつあるっていうのが
ネットワーク化とそれを支援する。
これちょっと言葉に言い出しにくいんですけど、なんかパブリック化っていうのは
それがすごく発達してるかなと。
ただ現状の課題としてはやっぱりそれを十分活用するにはセキュリティの話っていうのを解決しないと
サイバーセキュリティのリスクと課題
その美味しさを十分に享受できない。
そうですね。
現状を享受できてるのは、セキュリティリスクをある程度無視できる小さい企業がメインなんだろうなっていう。
そういうことですね。
だけれども、例えば自動車業界とかって、サプライチェーン、今言ったんですかね。
系列って言葉があったんですけど、自動車ってすごいいっぱいの部品で作られてるんで、数人の待ちコーバーはないかもしれないけど、
100人、200人。日本だと300人以下の企業は中小企業を定義されるらしいんですけど、
250人の工場とかって結構あるんですよね。
そういうところの部品作るのが止まると、
自動車ってジャストインタイムって部品供給されたりすることがあるんで、
車作るのに直接部品買ってるんじゃなくて、大手のTier1って大きな部品メーカーの下にあるような部品メーカーさんが、
例えば生産指示のサーバーが乗っ取られてラインが止まりましたみたいになると、
車のサプライチェーン全体で影響が出るパターンになるんじゃないかなと。
あと意外と薬、医薬なんかも、大手の企業って原薬っていう、
本当の薬原薬っていう、それだけを作って袋詰めとか打錠っていう粒にするとかっていうのは、
ちっちゃな町の工場がやってたりするらしいんですよね、委託で。
そうなると、大手企業の自社は大丈夫でも、
委託している工場が何か、例えばウイルスとかで問題にあると、
自分たちが困るというケースってあるんじゃないかなというか、
実際起きてるんですよね。
去年も自動車メーカーは大きなサイバーテロありましたから。
なので、小さい工場もサイバー攻撃のリスクにさらされるっていうのは、
サイバーレジリエンス法の概要
そこだけの問題じゃなくて、特にサプライチェーンに頼っている業界、
自動車とか医薬とかって意外と頼っているので、
その辺ってするとかなり業界の課題なんだろうなと思いますね。
そうですね。これを解決しないとネットワークのやりたかった利益を享受できない。
これがやっぱり今後我々のやりたいことなんでしょうね。
というところで、これを解決するために、
世の中のセキュリティっていうのはどんどん進化していると思うんですけど、
その中の一つに、前回岡田さんの発表でもありましたけど、
欧州のサイバーレジエンス。
CRAって書いてあるんですね。
これがやっぱり出てきていると、もう少し詳しい説明と、
これが持つ期待値みたいなところでお伺いしてもよろしいですか。
今、欧州、EUがサイバーレジエンス法という、
CRAって呼ばれて、めちゃめちゃホットな話題なんですけど、
ほぼ全てのデジタル製品、PLCも含めてが対象となったサイバーセキュリティ法律を作ったんですよね。
2024年の去年の12月に正式に法律ができて、
3年以内、2027年の12月までにセキュリティに強い組織の体制を作るっていうのと、
セキュリティに強い要求を満たした商品を作らないと、
ヨーロッパで事実上売れないと。
何かそれを使っている工場で問題が起きたら、
ペナルティ、賠償責任が発生するっていう、結構厳しい法律ができて、
ヨーロッパにデジタル製品を輸出している日本メーカー、
例えばPLCメーカーとかセンサーメーカーとかロボットメーカーとか機械メーカーが大慌てしていますと。
そういう法律なんですよね。
デジタル製品のセキュリティ要求
何をしないといけないかというと、脆弱性の報告義務って言うんですけど、
今デジタル製品って多くから少なくてソフトが入っている。ファームウェアって言うんですかね。
PLCもソフトの塊だったりすると。
セキュリティに弱い問題があったら、重要な問題の場合は24時間以内に
EUの当局に報告しないといけないという義務が発生すると。
これがすごく大きい。あとは5年間パッチ。ファームウェアに対してセキュリティパッチを少なくとも5年間提供し続けないといけないというもの。
これも要求がある。
例えばPLCメーカーでパッチ提供してないとか、パッチ提供する機能がないメーカーなんか今多分大慌てなんですよね。
ちゃんとソフトに対してのアップデートを提供しないといけない最低5年というのがある。
あとはセキュリティに強い商品を作らないといけないというのがあって。
ここは例えば暗号化機能を持ちましょうとか認証。
ちゃんと繋ぐときには利用者の認証を持ちましょう。いくつか要求があって。
そのレベルは商品によって違うんですけども、
やっぱりセキュリティに強い機能を持った商品を作ってくださいという要求が提起されていて。
一部の例えばファイアウォールとかVPNルーターという。
セキュリティを守るのが本職の商品については第三者認証。
例えばCEマーキングとかってありますよね。
安全機器とかを使っている人は寄付の認証とかってあるのをご存知だと思うんですけども、
そういうふうにちゃんと第三者機関からセキュリティの認証を取らないといけないと。
そういった商品群も定義されていて、それを3年以内にやるという。
かなりメーカーにとっては厳しくてインパクトのでかい法律なんですよね。
そうですよね。いろんなメーカー、
てんわんやしてるっていうのを僕も知ってるんですけど。
その割にはユーザー側の受けがあまり良くないから。
ユーザーとメーカーの意識の差が生まれてるのは感じますけど。
対応を最低限にしたいよねみたいな気持ちもあるでしょうからね。
そうですね。
いろんなセキュリティ法案ができてきて。
セキュリティ法案を拡張したものである程度カバーはされそうなんですかね。
今世の中が求めてるセキュリティレベルから言うと。
デバイスだけだと判断できない部分は当然あると思うんですけど。
サイバーレジリエンス法ってサイバーセキュリティ法じゃなくてサイバーレジリエンス法なんですよね。
なんでレジリエンスかというと、レジリエンスってご存知ですかね。
回復とか復旧っていう意味が含まれてるんですよね。
サイバーセキュリティって言うと攻撃から守る防御だけなんですけど。
レジリエンスって言うのは強くなりましょうと。
防御だけじゃなくて何か攻撃を受けたとしてもすぐに回復できる強靭さを持ちましょうみたいな部分が言われていて。
これはヨーロッパの工場はみんなレジリエントになりましょうという法律なんですよ。
だからこれはメーカーの法律じゃなくてヨーロッパに工場を持つ人たちの法律で。
だからセキュリティに強い生産現場を作るための法律。
そのためには工場にセキュリティに強い商品を入れないとセキュリティに強い工場システム、生産システムを作れないよねということな。
そういう立て付けになっている。
今後の専門職の展望
なので何かというとヨーロッパに工場を持つ人たちの法律で、
アセットオーナーという専門用語なんですかね。
オーナー。工場オーナーがどんなレベルのセキュリティが欲しいか。
それによるんですよ。
法律で何かが決まったわけじゃなくて、要件。
こんな機能を持ちましょうという要件があるんですけど、それができるとセキュリティに強い工場が本当にできますかというのは別問題。
一般論として、このセキュリティの強さという規格があるんですよ。
IECの6244で聞かれたことがあるかもしれません。
セーフティだと機能安全でパフォーマンスレベルとか、
セキュリティインテグリティレベルとか。
セーフティインテグリティレベルとか。
同じようにセキュリティにもSL、セキュリティレベルというのが
6244で決まっていて、1、2、3、4と。
どの工場オーナーが何を求めるかによるんですけど、一般的?
一般的にはセキュリティレベル2。
中程度の攻撃に耐えられる。非常に抽象的なんですけど、
本気で狙ってくる人の攻撃は耐えられるかどうかわからないけど、
お遊びでやってみようかみたいな人たちの攻撃は耐えられるというレベルが決まっていて、
一般的には例えば自動車の工場とかディスクリートの工場だと
SL2っていうのが割と満たしているといいんじゃないかという
雰囲気というか、事実上のコンセンサスがあります。
相手方のコスパがちょっと悪くなってくるようなセキュリティ感ってことですよね。
そうですね。ICのCRAでの要求があるんですけど、
CRAの要求っていうのは規格になってなくて、法律なんかね。
どういう規格に対応しろとも言ってないんですよ。
実質はIC62443っていう制御システムセキュリティ規格っていうのがあって、
これに準拠するとCRAの要求が満たせるみたいな。
たっくりとそういう解決系になって。
その法律に満たしてなくても満たせるんだったらいいけど、
その法律に則っておくのが安倍ですよってことですよね。
規格は62443をとるんでしょうけども、
セキュリティレベル2っていうものが、
例えばPLCとかロボットとか主要なFAの機器だと、
そこを目指しているところが多いんじゃないかと。
もうすでに取っているメーカーがいて、チーメンスのS7500とか有名ですよね。
世界で一番有名なPLCだと思うんですけど、S7500とか。
IC62443のセキュリティレベル2っていうのを取って、
あとはアメリカの6Lオートメーションのコントロージックスも取ってますよね。
この辺りは先頭走っていて、みんなSL2っていうのを取っているから、
ここが一つのコンセンサスのレベルなんだろうなとは。
SL2を取っていれば、ちゃんとセキュリティに対しては、
能力を持っていて、SLの要求も、
技術的な要求は満たすよねっていう感じかなっていう気がしますね。
なるほど。工場の中で、デバイスっていう立ち位置もあるんですよね。
基本的にネットワークはいろんなファイアウォールがある中で、
末端なので、グローバル上からの攻撃っていうよりは、
USBを持ち込んだりとか、マルベアに感染したパソコンを持ち込んだりとか、
そういうリスクもメインターゲットにしてってことだとは思うんですけど。
セキュリティでいうと、一番わかりやすいのは誤操作っていうのがあるんですよね。
さっき言ったように、セキュリティレベル1っていう一番低いレベルっていうのは、
誤操作が防止できる、誤操作を防ぐっていうレベルなんですよね。
間違えてPLCのボード、運転ボードからプログラミング用語で切り替えちゃいましたとか、
ついつい読み込みつもりなのに書き込みちゃいましたとかっていう、
誤操作でラインが止まるっていうのも結構あるんじゃないかなと。
一番低いセキュリティレベルっていうのは、SL1っていうのは、
よくある誤操作が防止できる要求機能っていうのが定義されている。
なのでセキュリティレベル2とかのPLCとかを使ったとすると、
当然攻撃には耐えられるでしょうけども、
現場の誤操作によるライン停止とかは大きく減るんだろうなと思いますよね。
それでもめっちゃ難しくないですか。
誤操作を減らせるのは減らせるんですけど、
結構限定していく話にありますよね。
無限に対策することはやっぱりできないんで。
もちろんもちろん。だからセーフティというか安全といった確率論、
確率的なもの、完璧じゃないんでね。
どうしてもそういった発生頻度を下げるとか確率を下げるっていうのの積み上げで、
どこまでのリスクを許容するんですかっていうリスクアセスメントっていうのが
セーフティと同じでセキュリティもやるんですけど、
ちゃんとリスクアセスメントをして、許容できるリスクを決めて、
その範囲でちゃんと適切な対応。
例えば強いPLCを使うとか、PLCだけ守れないところはネットワークの入り口で
ファイアウォールを置くとか、セキュリティルーターを置くとか、
ネットワークだけでダメだったら物理的にドアを作るとかね。
そうですね。
そんなことやるんでしょうね。
今まで岡さんの話を一通り伺ってきて、やっぱり思ったこととしては、
何でもそうですけど、ちゃんと使わんとあかんですよっていう話ですよね。
だから、よりこれは専門職になっていく雰囲気が感じますね。
やっぱり今までOT系の話って専門職ってなかなかいなかった。
機械や電気屋レベルぐらいの流度でしか分けてなかったのが、
もう少し専門職になるかもしれないですね。
空いてるやつがやれみたいな。
電気屋の中のOT強いやつ、電気屋の中のネットワーク強いやつみたいな
そんなふんわり職業だったんですけど、今までって。
もう少し名前がついてしっかりとした職業になるかもしれないですね。
ちゃんとスキル、OT経験を身につけてっていう。
例えばでも、別の領域だけど、安全とかっていうのも
多分専門職として認められてるところって出始めてるかもしれないし、
あとは画像処理とかもありますね。
なので、セキュリティとかネットワークとかってのもなるでしょうね。
上司数はありますけど、上司とは少し違うポジションとして成立するのと、
あと多分給料は上がるんでしょうね、そこのポジション。
国内はちょっと置いといて。
世の中の労働市場と合わなくなる。
でも例えば給料を上げるとすると、給料を上げる原資をちゃんと稼がないといけない。
OTで稼がないといけないから。
OTセキュリティの重要性
そこはやっぱりデジタルの力を借りて、
セグっていうのを真剣に考えないといけないんでしょうね。
でもやっぱり一番最初の話に戻りますけど、
やっぱりビジネスを拡大するかなり大きなポテンシャルあると思うんで、デジタルっていうのは。
さっきのリモートの話もそうですし、売り先が増えるっていう話もそうだし、
効率化に少ない投資できるって話もそうなんで、
基本的にはすごくポテンシャルは高いですよね。
ITというかOTITのネットワークを含めたセキュリティ関係ができる人が仮にいて、
かつアプリケーションがちゃんと詰める人がいるのであれば、
その人たちの原資を回収するのはそんなに難しくはない気がしますね。
要は広いですから扱ってる金額はおのずと大きくなっていくはずなんで。
デジタルの力でビジネスを広げましょうということですね。
そのためのセキュリティですと。
いわゆるセキュリティ確保された上の世界には美味しい未来が待ってるはずだからということですよね。
だから難しいのはセキュリティ単体で見ちゃうと全く旨味が見えないから、
そこをどうやっていくかですよね。
ただただコストがかかるだけってなっちゃうんで、
そこに上に人をプラスに積んでいくかという話が大事ですね。
そういう事例もそろそろ出てきだすんじゃないかなというふうには思ってますけど、
国内はそういう兆候はあるんですかね、今のところって。
例えばOPCUAって言うと、言葉を知ってる人が増えていって、
日本のPLCメーカーとかっていうと三菱オムロン期限、みんな対応してたりするとか、
いわゆるOTとITをつなぐ国際標準のインターネット企画ですよね。
あれセキュリティに対応してるんですよね、最初からね。
本当にセキュリティ機能を全部使ってる人はいるかわからないんですけど、
OPCUAを使うとセキュリティ機能がついてくるんであれを使おうと、
実際に使ってる人たちが出始めて、セキュリティ設定をしてOPCUAを使うと。
例えば現場のOTから工場から上位の生産管理とかIT部が管理しているITの仕組み、
半導体セキュリティと業界動向
データベースとかにデータをやり取りするときに一旦ファイアウォールを置くと、
そうすると外から入ってきにくいんだけども、データ出ていかないといけないんで、
そのときにOPCUAってセキュアな通信企画だけをちゃんと穴を開けて通すっていう使い方は出てますよね。
あとは半導体セキュリティ企画っていうのがセミの187、半導体装置専門のセキュリティ企画が出ていて、
これも対応しないといけないっていうふうになってるんですね。
それはOPCUAが?
いやいや、セキュリティ企画ですね。
セミの方がOPCUAに対応しなきゃいけないってことですね。
セミのセキュリティ企画っていうのがあって、そこは別にOPCUAとは言ってないんですけども、
半導体は独自のセキュリティ企画があって、それに対応しないといけないっていうふうにどんどんなってきて、
例えば発表されたかどうか、例えば新設の工場、日本だったらラピュタスとかありますよね。
新設の半導体工場はもうみんなセミのセキュリティ企画に対応しないといけないっていうふうになってるみたいで、
だから今半導体装置メーカーさんはCRA対応というよりも、
セミのセキュリティ企画に対応するっていうのを最優先でやられてるみたいですね。
なるほど。
だからその辺からセキュリティに対応するっていうのが少しずつ当たり前になってきて、
その辺の知ってる装置メーカーとか人たちも出てきて、
セキュリティの技術とかね、そういったのがじわじわ広がってはいくのかなと思うんですけどね。
なるほど。
セキュリティの進み方とその先のうまみ、より良き未来になっていくことを願いながら。
セキュリティの話、ほうかさんに伺いまして、非常に今の動向がよくわかったっていうのと、
やっぱりその意義ですね。
セキュリティを我々がやらなければいけない意義。
これはやっぱり非常によくわかりやすくやれたと思いますので、ぜひありがとうございます。
一本目はここで終了したいと思います。
皆さんありがとうございました。
ありがとうございました。
