近年は、デジタル技術の発展に伴い、多くの企業でデジタル化への移行が進んでいます。製造業界でも取り組みは進められており、DXを見越して導入を行なう企業も増えてきています。
しかし、デジタル化が進むことで、同時にサイバー攻撃をされるリスクも高まります。年々サイバー攻撃による被害が増え続けていることから、何かしらの対策が必要といえるでしょう。
サイバーレジリエンスやデジタルレジリエンスは、そんなサイバー攻撃からシステムや業務を守るためのセキュリティシステムです。サイバー攻撃から大切なシステムやデータを守るためにも、サイバーレジリエンスやデジタルレジリエンスについて知っておく必要があります。
サイバーレジリエンスとデジタルレジリエンスはどのようなサイバーセキュリティなのか。それぞれの違いや「守る範囲」などについて紹介します。
サイバーレジリエンスとは何か
サイバーレジリエンスとは、「コンピュータの回復力」といった意味の言葉です。
外部からの攻撃によってシステムがダメージを負った際、そのダメージを修復し、元の状態に戻すシステムのことをサイバーレジリエンスと呼びます。
近年は、IoTの普及により、さまざまなモノがインターネットでつながるようになりました。しかし、外部ネットワークは外部からの進入路となってしまい、マルウェアの被害が問題視されています。
社内データを壊され業務に支障を出さないためにも、サイバーレジリエンスが必要とされているのです。
サイバーレジリエンスの基本的な考え方
サイバーレジリエンスの基本は、「サイバー攻撃に耐えて、元の状態に復旧する」ことです。ファイアウォールのように攻撃自体を防御するのではなく、ダメージを受け切ったあと、被害の対処に取り組みます。
一見するとファイアウォールがあれば不要に思えますが、ファイアウォールだけでは万が一に突破されてしまうと被害を止めることができません。サイバー攻撃は年々進化し続けていることから完全に防ぐことは難しく、万が一への対策も必要とされます。
サイバーレジリエンスもセキュリティ対策の一環であり、ファイアウォールと合わせて構築することで、よりセキュリティシステムを強化できます。
また、サイバー攻撃の種類を選ばないのもサイバーレジリエンスの特徴です。ファイアウォールだと、トロイの木馬、ワーム、スパイウェアなどそれぞれへの対策が余儀なくされますが、サイバーレジリエンスなら被害を負ったあとへの対処なため、サイバー攻撃の種類を問いません。
ある意味、サイバーレジリエンスは万能型のセキュリティシステムともいえます。
製造業で問題になる場面
サイバーレジリエンスには、「システムを構築しても被害が発生する」といった問題があります。サイバーレジリエンスの基本は「耐えて直す」ことであるため、サイバー攻撃をされてしまうと必ず被害が発生してしまうのです。
例えば、生産管理システムが攻撃されたとします。その場合だと、サイバーレジリエンスによってシステムが復旧するまで、生産ラインが止まってしまいます。
ファイアウォールは攻撃を防ぐことで業務を守ることにもなりますが、サイバーレジリエンスはシステムは守れても業務自体は守れません。
そのことから、サイバーレジリエンスはIT技術やシステムそのものを守るセキュリティといえるでしょう。
デジタルレジリエンスとは何か
サイバーレジリエンスに似た言葉として、デジタルレジリエンスと呼ばれるものもあります。サイバーとデジタルは同じ意味に思えますが、何が違うのでしょうか?
デジタルレジリエンスの定義
デジタルレジリエンスとは、サイバー攻撃やシステム障害などから業務の中断を守るシステムのことです。サイバー攻撃などによって業務が中断してしまわないよう、事象を予測し対策を行ないます。
サイバーレジリエンス同様に受け身のシステムですが、デジタルレジリエンスは「業務を中断するあらゆる要素」へ対策を行なうのが特徴です。サイバー攻撃はもちろん、災害、故障、人的ミスなど、幅広い要素に対応します。
対象がサイバー攻撃だけではないため、不測の事態に強いセキュリティシステムといえます。
サイバーレジリエンスとの決定的な違い
サイバーレジリエンスとの主な違いは、起点とする部分にあります。デジタルレジリエンスは「業務の中断を防ぎ継続する」ことを起点とするのに対して、サイバーレジリエンスは「サイバー攻撃からの被害を修復し対応をする」ことを起点とします。
簡単に説明すると、デジタルレジリエンスは「継続維持」を目的とするのに対して、サイバーレジリエンスは「被害の修復・対応」を目的とするわけです。
それぞれ目的が違えば対処方法も変わってきます。「対象範囲が広いからデジタルレジリエンスだけあればいい」といったわけではありませんので注意してください。
製造業が本当に守るべき「範囲」とは
サイバーレジリエンスとデジタルレジリエンスの違いについて紹介しましたが、実際の製造現場では、デジタルレジリエンスの方を優先されることが多くあります。その理由は、サイバーレジリエンスの「システムが直ればOK」の考えでは、本当に必要とする要素を守れないからです。
もちろん、システムを直す考えも大切ではありますが、製造業ではほかにも、守るべき範囲が存在します。
サイバーレジリエンスを正しく理解するためにも、守るべき範囲について知っておきましょう。
「システムが直ればOK」では足りない理由
サイバーレジリエンスが不足とされる理由は、サイバーレジリエンスではシステムは守れても、業務を守ることができないからです。サイバーレジリエンスの目的はシステムの復旧であり、復旧中は生産が行なえず業務を止めてしまいます。
生産の遅れは、顧客との信用問題に発展します。例え遅れた理由がサイバー攻撃をされたからだとしても、顧客からしてみれば関係ありません。どのような理由であれ遅れたことには変わりなく、契約を守れないことで落胆してしまいます。
顧客との契約を守るためには、システムだけではなく業務自体も守る必要があるでしょう。
デジタルレジリエンスで考えるべき守る範囲
修復を目的とするサイバーレジリエンスに対して、デジタルレジリエンスは業務の継続を目的とするシステムです。つまりは、サイバーレジリエンスとは異なり、生産を止めずに問題解決に当たれます。
システムはもちろん、業務や人まで守れるのがデジタルレジリエンスであり、そのことから、製造業ではデジタルレジリエンスによる対策が重要といえます。
生産管理システム視点で考えると違いが分かりやすい
上の見出しでは「サイバーレジリエンスよりもデジタルレジリエンスの方が大切」としましたが、あくまでも優先順位なだけあって、セキュリティ対策にはサイバーレジリエンスも大切です。
それぞれがどのように大切なのか、生産管理システムの視点から見てみましょう。
サイバーレジリエンスの視点
サイバーレジリエンスが必要とされる理由は、システムの早期復旧を目指すためです。システムが損傷したままでは正しい管理は行なえないため、サイバーレジリエンスによって元の状態に戻す必要があります。
主な方法としては、データのバックアップが挙げられます。事前にシステムやデータのバックアップを用意しておけば、データが破損しても、すぐに上書きして再起動ができます。一時的にシステムは停止するものの、対策を取っていたことでスムーズに生産を再開することができるでしょう。
また、サイバーレジリエンスは修復だけではなく再発防止も目的とします。インシデントを再発させないため、問題となった原因を分析し、システムの導入やルールの策定などの対策を講じます。
サイバーレジリエンスは、ただシステムを復旧させるだけを目的としておらず、迅速な問題解決や再発防止を目的としているのです。
デジタルレジリエンスの視点
デジタルレジリエンスが必要とされる理由は、生産を中断させないためです。システムの修復中は生産を止める必要がありますが、それだと納期に間に合わなくなってしまいます。
納期に間に合わせるためには、トラブルが発生しても生産が続けられるシステムを構築する必要があるでしょう。
主な方法としては、手作業に切り替えることが挙げられます。機械による製造に比べると生産性は落ちますが、修理されるまで待つよりは生産数は稼げます。トラブル前と同じ状況を整えるのではなく、同じことができる状況を整えるのです。
また、システムが復旧後に戻せることも重要です。デジタルレジリエンスによる作業はあくまでも臨時によるものであり、続けていくわけではありません。復旧後に現場が混乱しないような簡潔な仕組みが望まれます。
デジタルレジリエンスとサイバーレジリエンスは、それぞれ目的としていることが異なります。継続できるようにするだけではシステムの修復が遅れ、逆にサイバー攻撃への対応だけでは業務が中断してしまいます。
それぞれ目的が異なるから、どちらかだけあればいいわけではありません。業務を止めず被害を直すためには、両方のシステムが必要となるのです。
製造業はどこから考え始めるべきか
サイバーレジリエンスを構築するにしても、何から始めればいいのかがわからない企業は多いかと思います。闇雲にセキュリティを入れても、本当に守りたい範囲を守れず、意味のないセキュリティ対策となってしまいます。
意味のある導入にするためにも、以下の部分を意識しながら検討をしてみてください。
優先順位の考え方
優先順位の考え方としては、リスクアセスメントを意識しながら行ないます。リスクアセスメントとは「リスクの大きさに対して優先準備を決める」安全衛生活動であり、つまりは、問題が生じた際に最も影響が大きい箇所を優先して対策をします。
例えば、生産管理システムへの対策です。生産管理システムが停止すると業務すべてが停止してしまいますが、末端である製造機器が停止しても業務全体への影響は少ないといえます。
そのことから、まず始めに生産管理システムに対して対策を行ない、段々と末端へと対策を広げていくことが大切といえるでしょう。
また、対策はサイバーレジリエンスから行なうのも大切です。故障や人的ミスは気を付ければ防ぐことができますが、サイバー攻撃は気を付けていても防ぐことができません。
リスクの面で見ても、サイバー攻撃は企業にとって大きなリスクといえます。
そのため、まずはサイバーレジリエンスを行ない、最低限構築ができたら、業務に合わせてデジタルレジリエンスに取り掛かるといいでしょう。
現実的な第一歩
まず初めに、重要業務の洗い出しから行ないます。リスクアセスメントを基準にした優先順位を決めるため、止まると困るシステムを特定してください。
また、選定した後は「止まったらどうするか」を考えます。システムの復旧や業務を継続するためにはどうすればいいかを考え、対策を講じるのです。
例えば、業務を継続させるためにクラウドを利用します。データを外部ネットワークに避難させておけば、サイバー攻撃によってデータが壊されても、クラウドからデータをコピーすることで業務を続行できます。
ほかにも、「製造機械がトラブルで止まった際には復旧するまで手動で作業を進める」「サイバー攻撃された際には被害が拡大しないようケーブルを外す」など、デジタル技術を用いない対策方法もあります。
大切なのは、実際に生じた際に、慌てず迅速に行動ができるかどうかです。対策を簡潔にして分かりやすくするのはもちろん、定期的に研修を行なって、従業員全員が対応できるようにしておきましょう。
まとめ:工場停止を防ぐ視点で製造業が守るべき範囲を考える
サイバーレジリエンスは、サイバー攻撃から重要なシステムを守るためのシステムです。攻撃されることで再起不能とならないよう、修復や対応をすることで大切なシステムを守ります。
受け身型のシステムなため軽視されがちですが、ファイアウォールが突破された際の保険として重要なセキュリティです。より強力なセキュリティを構築するためには、万が一への対策も必要となります。
しかし、サイバーレジリエンスだけでは、業務を守ることができません。サイバーレジリエンスは修復を目的とするシステムであり、修復されるまでの間、業務が止まってしまうからです。
セキュリティ対策をする理由の一つは、業務が止まるのを防ぐためです。それなのに、業務が止まってしまうようでは、対策として不十分だといえるでしょう。
システムを守ることはもちろん重要ですが、システムを守ることと業務を守ることは同じではありません。業務を守るためには業務の継続を目的としたデジタルレジリエンスの考えも必要となります。
ただセキュリティ対策を行なえばいいわけではありません。目的に合わない対策は、不十分な結果となってしまいます。工場停止を防ぐ視点で、製造業が守るべき範囲を考えてみてください。
