工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン

1. 背景・経緯

工場システム（産業制御システム(ICS/OT)やこれらを構成する機器、及び接続されるシステム・機器） は、内部ネットワークとして、インターネット等のネットワークにはさらされないことを前提に設計されてきました。しかし、ＩｏＴ化や自動化の流れの中で、個別の機械やデバイスの稼働データの利活用の可能性が広がり、新たな付加価値が生み出される取組が進められる一方で、工場等のネットワークをインターネット等のネットワークにつなぐ必要性や機会が増加することによる、新たなセキュリティ上のリスク源も増加しています。また、工場DX（デジタルトランスフォーメーション）が推進されることにより、クラウドやサプライチェーンにおいて接続された製造現場におけるセキュリティも考慮しなければならない状況となっています。一方で、このようなインターネット接続の機会に乏しいと思われる工場であっても不正侵入者等による攻撃を受けるケースも発生しています。

さらには、サイバー攻撃が高度化・巧妙化しており、重要な情報や金銭を目的とした標的型攻撃として特定の工場が狙われる場合もあれば、攻撃者の意図性なくたまたま攻撃した先が工場である場合もあります。したがって、いかなる工場においても、サイバー攻撃を受ける可能性があることを認識する必要が出てきました。

このような状況を踏まえ、工場システムのセキュリティ対策を実施する上で、参考となるような考え方やステップを示すべく、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」を策定しました。本ガイドラインを参照いただきつつ、業界・業種の事情に応じたガイドラインを作成されるなど工場へのセキュリティ対策が立案・実行されることで、産業界全体、とりわけ工場システムのセキュリティの底上げが図られることを目指しています。

２．工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0の概要

本ガイドラインでは、業界団体や企業が自ら対策を企画・実行するに当たり、参照すべき考え方やステップを「手引き」として示し 、必要最小限と考えられる対策事項として脅威に対する技術的な対策から運用・管理面の対策までを明記しています。また、付録にて、関連する基準や工場セキュリティ対策のチェックリスト等、読者の参考になると考えられる情報を掲載しています。

＜ガイドラインの構成＞

• 1. はじめに
  • 1.1. 工場セキュリティガイドラインの目的
  • 1.2. ガイドラインの適用範囲
• 2. 本ガイドラインの想定工場
  • 2.1. 想定工場
  • 2.2. 想定組織構成
  • 2.3. 想定生産ライン
  • 2.4.想定業務
  • 2.5.想定データ
  • 2.6.想定ゾーン
• ３. セキュリティ対策企画・導入の進め方
  • 3.1. ステップ1：内外要件（経営層の取組の法令等）や業務、保護対象等の整理
    • 3.1.1.ステップ1-1：セキュリティ対策検討・企画に必要な案件の整理
    • 3.1.2.ステップ1-2：業務の整理
    • 3.1.3.ステップ1-3：業務の重要度の設定
    • 3.1.4.ステップ1-4：保護対象の整理
    • 3.1.5.ステップ1-5：保護対象の重要度の設定
    • 3.1.6.ステップ1-6：ゾーンの整理と、ゾーンと業務、保護対象の結びつけ
    • 3.1.7.ステップ1-7：ゾーンと、セキュリティ脅威による影響の整理
  • 3.2. ステップ2：セキュリティ対策の立案
    • 3.2.1.ステップ2-1：セキュリティ対策方針の策定
    • 3.2.2.ステップ2-2：想定脅威に対するセキュリティ対策の対応づけ
      • （1）システム構成面での対策
        （2）物理面での対策
  • 3.3.ステップ3：セキュリティ対策の実行、及び計画・対策・運用方針の不断の見直し（PDCAサイクルの実施）
    • 　　（1）ライフサイクルでの対策
      　　（2）サプライチェーン対策
• 付録Ａ　用語／略語
• 付録Ｂ　工場システムを取り巻く社会的セキュリティ要件
  • Ｂ-１　法規制、標準規格、ガイドライン準拠に関わる要件
    • Ｂ-1.1.法規制によるセキュリティ対策の要求
    • Ｂ-1.2.セキュリティに関わる標準規格・ガイドライン準拠の要求
  • Ｂ-２　国・自治体からの要求
  • Ｂ-３　産業界からの要求
  • Ｂ-４　市場・顧客からの要求
  • Ｂ-５　取引先からの要求
  • Ｂ-６　出資者からの要求
• 付録Ｃ　関連文書におけるセキュリティ対策の考え方
  • Ｃ-１　代表的セキュリティ対策評価基準
  • Ｃ-２　セキュリティ対策を行う度合いの定義例
• 付録Ｄ　関連／参考資料
• 付録Ｅ　チェックリスト
• 付録Ｆ　調達仕様書テンプレート（記載例）

関連資料

○工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン

• 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0 （PDF形式：1,879KB）
• 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.1 （PDF形式：3,565KB）
• 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」概要資料（PDF形式：1,213KB）
• 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」付録E チェックリスト（EXCEL形式：16KB）

○工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】

• 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】Ver1.0 （PDF形式：3,493KB）
• 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Appendix【スマート化を進める上でのポイント】Ver1.1 （PDF形式：2,466KB）
• 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」【別冊：スマート化を進める上でのポイント】Ver1.0 概要資料（PDF形式：1,551KB）
• 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」Appendix【スマート化を進める上でのポイント】Ver1.1 概要資料（PDF形式：1,367KB）

○工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Appendix【工場セキュリティの重要性と始め方】

• 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Appendix【工場セキュリティの重要性と始め方】 （PDF形式：1,211KB）
• 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Appendix【工場セキュリティの重要性と始め方】プロモーションペーパー（PDF形式：403KB）

関連資料（英訳版）

• The Cyber/Physical Security Guidelines for Factory Systems Ver1.0 （PDF形式：2,437KB）
• The Cyber/Physical Security Guidelines for Factory Systems Ver1.1 （PDF形式：2,290KB）
• The Cyber/Physical Security Guidelines for Factory Systems [Appendix: Key Considerations for Promoting Smartification] Ver1.0 （PDF形式：2,042KB）
• The Cyber/Physical Security Guidelines for Factory Systems [Appendix: Key Considerations for Promoting Smartification] Ver1.1 （PDF形式：1,678KB）

関連リンク

• 産業サイバーセキュリティ研究会WG1（制度・技術・標準化）
• 工場サブワーキンググループ
• スマート工場化でのシステムセキュリティ対策事例 調査報告書
• 産業用制御システム向け侵入検知製品等の導入手引書

商務情報政策局 サイバーセキュリティ課
電話：03-3501-1511（内線）3964
FAX：03-3580-6239