“止められない”工場やインフラ施設を守る OTセキュリティの第一歩
主なソリューションとガイドラインに学ぶ“3つのステップ”
“ITと同じ”では通用しない? 工場・インフラ施設に必要なセキュリティ対策
2026年02月04日 08時00分更新
セキュリティ対策を進める上での3つのステップ
ここまで紹介したセキュリティソリューションを用いてどうセキュリティ対策を進めるべきか。第1回で紹介した経産省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」では、企画・導入に向けた3つのステップを提示している。
ステップ1は、「内外要件や業務、保護対象などの整理」だ。まずは、OTセキュリティを検討する上で必要となる情報を収集・整理する。
OTシステムに関わる経営目標から外部要件(法規制や標準規格、国や業界、取引先からの要請など)、内部要件(現状のセキュリティ方針・体制やシステムなど)の整理から始まり、業務や保護対象の整理を経て、最終的にはゾーン(領域)に紐づく業務、保護対象、想定脅威を設定する。
ステップ2は、「セキュリティ対策の立案」である。ステップ1で整理したゾーンごとの業務、保護対象、想定脅威に対して、重要度・優先度を決め、方針を策定する。その後、どのようなセキュリティ対策が対応づけられるかを検討していく形だ。セキュリティ対策には、連載では触れていない物理面での対策(建屋や電源・電気設備、環境、水道設備、機器など)も含まれる。
ステップ3は、「セキュリティ対策の実行および計画・対策・運用体制の不断の見直し」だ。ステップ2で立案したシステム面・物理面での対策に加え、運用・改善も含めたライフサイクル全体での対策や、サプライチェーンを考慮した対策も講じて、実際にセキュリティ対策を実施する。
そして、事業や環境、技術の変化に応じて、計画・対策・運用状況を見直して、PDCAサイクルを回していく。
セキュリティ対策における3つのステップ(工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインより)
なお、本ガイドラインでは、想定工場を踏まえた例示を含めて、各ステップをより詳しく解説している。
次回は、本記事でまとめたOTセキュリティソリューションを提供する主要なベンダーについて紹介していく。
