2021年 - VECサロン

製造業DXバリューチェーン時代のサイバーセキュリティ対策とは

製造業DXバリューチェーン時代に求められる企業の取り組みは、時代の変化スピードに追い付いて行けるかどうかで企業価値が変わってくる。顧客のイノベーションが様々な課題をクリアして、次の時代の社会に貢献していく中で、競合がそれに適合しているのに、自社が適合できない状況は、市場が遠くなっていく。

この遅れを取り戻すには、かなりのスピード感を持って投資を行わなければならなくなる。ところが人材育成は、そのスピードに追い付いて行かない。そこで、経営学の基本からこの製造DX時代に関する問題を一緒に考えてみたいと思います。

1．現代経営学と製造DXとサイバーセキュリティ

ハーバード大学の経営大学院教授であるマイケル・ポーター氏が、「バリューチェーン」などの競争戦略手法を提唱したことを知っている人はどれだけいるだろうか？彼の代表的著作に『競争の戦略』は経営戦略論の古典として今も多くの経営者や経営学者が高く評価している。

マイケル・ポーター氏は、バリューチェーンを主活動と支援活動に分類した。主活動はサプライチェーンの購買物流 (inbound logistics)、オペレーション（製造）、出荷物流 (outbound logistics)、マーケティング・販売、サービスからなり、CIM（computer integrated manufacturing：コンピュータ統括生産）が導入されていった。支援活動は企業インフラ、人材資源管理、技術開発、調達から構成される。この時代の支援活動は、エンジニアリングチェーンが主流で、モジューラ設計やモデリング技術が普及し、3D‐CAD（Computer Aided Design）からCAM（computer aided manufacturing）が導入され、シミュレーションも拡がった。

また、2006年7月1日施行のRoHS（Restriction of Hazardous Substances Directive）や2007年6月1日施行のREACH（Registration, Evaluation, Authorization and Restriction of Chemicals）により、クオリティーチェーンが加わった。
2010年のイランの核燃料施設のウラン素材の遠心分離機の監視制御システムをサイバー攻撃したStuxnetが登場してから、バリューチェーンで扱われるエンジニアリングチェーンにサイバーセキュリティ品質情報が加わったことで、セキュリティチェーンが加わった。

もう一人、「マネージメント」の発明者で、現代経済学を創り出したピーター・ファーディナンド・ドラッガー氏がいる。
ドラッガーの「マネージメント」と「イノベーションと企業家精神」の著書にも書かれているように、「マーケティング」と「イノベーション」と「生産性改善」の三つのテーマについて組織活動を展開するに必要な課題を解説している。

企業や組織におけるマネージメント能力が低下すると、検査部門の不正操作や正規の検査資格がない者に検査をさせるなどの不正行為を行ったりする。これは、品質保証上の顧客への企業責任の重みを感じなくなった現象の一つでもある。
サイバー攻撃を受けても、サイバーセキュリティ投資は生産性が無いからと投資を控える思考になる。この現象は、思考停止の一つである。
企業力を支える企業インフラと製品価値を造り出す現場インフラの守りあっての顧客の信頼であるのに企業活動の柱を維持できないサイバー攻撃に対策を怠る経営者は、経営とは何かを理解していない。そういう企業に将来性は無いので、転職も選択肢に入ってくる。

新型コロナ禍で経済活動が思うように進まない踊り場状況に、企業は何をするべきかと言うと、時代の変化に適合するための企業力を養う時であり、業務構造改革に取り組む時でもある。それが、製造DX時代を迎えているという根拠にもなっている。

2．現代のバリューチェーンの支援活動

製造DX時代を迎えている今、主活動

2-1 企業インフラのDX推進業務改革

まず、現状の業務分析を実施して課題と問題点を整理しよう。その時、事業戦略で使用する科学的分析手法を駆使することで、解決策が明らかとなってくる。その解決策を実現することはもちろんであるが、経営学の先駆者が指摘している事業戦略の基本となる経営手法を活用することで、企業内の部門の活性化と、より効果的なグローバル経済活動展開が可能となる。

2-2 人材資源管理の課題

製造DX時代に対応した人材資源管理の人材資源としては、以下の人材となる。但し、これらの人材資源（実務能力者）は短期間に容易に作り出すことは難しいとされてきた。その理由は、製品開発やシステムインテグレートの技術業務の中でサイバーセキュリティ対策を活かすところに、顧客のイノベーションにつながる自社のイノベーションが作れるからである。実務能力者であることを証明する第三者機関として、ICS研究所が制御システムセキュリティ実務能力検定を2月より開始している。また、脆弱性識別情報を知る手段として、ICS Newsletterのサービスを無料で受けることもできる。

①生産・製造システムセキュリティ管理者
IEC62443-2-1では、生産・製造システムの設備をセキュアにし、システムの脆弱性識別情報を設備メーカーと連携して管理し、サイバー攻撃に強い設備とする管理責任があること。と要求されている。

②制御セキュリティエンジニア
IEC62443-4-1では、制御装置、機械、ロボット、搬送機、監視制御ソフトウェア、生産管理システムソフトウェアなどの製造現場で使用する製品を開発する技術者は製品開発業務を開始する前に、制御セキュリティ実装技術及びセキュアコーディングの教育を受けなければならない。と要求されている。

③脅威リスクモデル設計とリスクアセスメントエンジニア
IEC62443-2-4及びIEC62443-4-1では、制御システム設計や制御製品開発を行う前に、脅威リスクモデル設計を実施して、リスクアセスメントを実施しなければならない。と要求されている。

④制御システムセキュリティ対策が解るサービスプロバイダー／システムインテグレータ
IEC62443-2-4では、設備オーナーから発注を受けるサービスプロバイダー（生産・製造設備を提供するエンジニア会社）やシステムインテグレータは、制御システムセキュリティ対策を実装し、その評価結果と運用サービスを提供しなければならない。と要求されている

⑤製品開発プロセスやインテグレートプロセスにおけるレビュー評価者
IEC62443-4-1では、システム設計や製品開発におけるレビュープロセスにおいて、制御システムセキュリティ並びに制御セキュリティにおける実装機能や性能をセキュリティ評価しなければならない。と要求されている。

2-3 技術開発のエンジニアリングチェーンを支える技術

①生産・製造システムセキュリティ／制御システムセキュリティ／制御セキュリティ対策
サイバー攻撃から生産・製造設備を守るには、制御装置や機械などの制御製品そのものにサイバーセキュリティ対策の実装技術を装備しなければ機能しない。

②OPC UA Connected
OPC FOUNDATIONは、欧米の工業会と連携して、現場とクラウドドメインをセキュアにつなぐConnected技術ソリューションを提案しています。

③クロスドメインソリューション
現場から上がってくるデータを情報に変えるConnectedで取り込んだデータや情報は、一旦現場管理ドメインサーバーにプールされる。そのデータや情報をエンジニアリングチェーンでつながる部門のドメインにセキュアに渡すソリューションをクロスドメインソリューションと言う。

④マルチドメインソリューション
企業活動を行うに現場から上がってくるデータや情報を使って、それぞれの部門の役割（ロール）における業務（ミッション）活動を展開するに、部門が管理するドメイン間で、データや情報の授受をセキュアに行うソリューションを言う。

⑤GAIA-X
ドイツやフランスでは、企業間連携でのデータや情報の授受をセキュアに行う法律が制定されている。この法律を伴う「セキュリティ対策を持ったビジネスルールソリューション」は、EUだけでなく、米国企業も関心を持っている。クロスドメインソリューションをセキュアに実現しているのは、IDS-Connectorです。IDS-Connectorで取り合いするペイロード部分にOPC UAを採用することができます。

⑥データセキュリティ
バリューチェーンにおけるConnectedやクロスドメインソリューションやマルチドメインソリューションでは、授受するデータのセキュリティ確保を目的に、データそのものにセキュリティ機能を持つデータセキュリティソリューションが要求される。このデータセキュリティの国際標準規格も、それぞれの産業別に規格が創られているが、その基本は、OPC UAでも定義されている
・データモデリング設計
・データのアクセス制御のアカウント管理と鍵管理
・データの読み取り／書き取りの鍵管理
・データの暗号処理及び解除の鍵管理
・鍵入力及び管理における保護機能
を基本としている。

2-4 調達と法規制

素材・部品調達における法規制では、貿易における輸出管理法で、「自国で製造した製品やライセンスを持っている製品を輸出した先の国で、製造組み込み及び加工した製品を第三国へ輸出する場合は、自国の許可を必要とする。」という規制項目を出している国がある。それにより、製品構成や部品リストを変更し、サプライチェーンを変更しなければならない企業も少なくない。
また、国によっては、設備オーナーは、サイバーインシデントの報告義務化されたことで、サイバーインシデント検知機能を設置して、サイバーインシデント情報を指定機関へ報告しなければならない。
それと、サイバー攻撃対策として、コンピュータ機能を持つ設備は全て、脆弱性情報識別管理を行い、設備のリフレッシュ工事の都度、脆弱性削減対策を実施しなければ、サイバー攻撃の餌食になってしまう。

3．人材育成プログラムについて

ICS研究所の教育研修プログラムには、以下を用意している。

①オンデマンドビデオ講座eICS
250講座以上をオンラインで受講できるので、研修のために出かける必要もなく、仕事の合間に業務に必要な講座を受講できます。IEC62443の解説もあり、実務能力を身に付けるのに役立ちます。

②制御システムセキュリティ社内リモート研修
研修内容：オンデマンドビデオ講座eICS一年間受講＋社内研修（5名から12名程度、90分×3回／1日、3か月間で9回）
eICS併用のリモート研修で社員の制御システムセキュリティへの認識改革ができます。

③制御セキュリティ仕様の製品開発人材育成コンサルティング
オンデマンドビデオ講座eICS一年間受講＋製品開発における制御セキュリティコンサルティングで、IEC62443-4-1で要求している製品開発環境や体制整備並びに人材育成の実施計画を立て、組織体制を担う人材の実務能力が向上します。

④IEC62443認証／ISA Security認証取得を目的とした人材育成コンサルティング
認証機関が実施している、認証取得条件を満たしているかどうかのコンサルティングではなく、認証取得するために、システムや製品にどのようなセキュリティ機能や性能を実装したら良いかをコンサルティングします。

⑤製造DX推進業務改革の人材育成コンサルティング
製造現場を抱える企業でDX推進をベースに業務改革するのに障害となっている組織部門長及び幹部の思考停止対策トレーニングやマネージメント能力アップをコンサルティングすることで、DX推進業務改革を成功させることができます。

⑥制御システムセキュリティ／制御セキュリティ対策の実務能力検定
IEC62443-4-1のSM-4: Security expertise（セキュリティに関する専門知識）にあるように制御システムセキュリティ／制御セキュリティ対策の実務能力を持っていることを評価する検定試験です。システム設計や製品設計や設計レビュー評価者の実務能力がどの程度あるのかをIEC62443のMaturity Level1から4の組織基準を人材評価基準に置き換えて、脅威リスクモデル設計やセキュリティ設計、製品へのセキュリティ実装技術を含め、検定問題を作成しております。

お問い合わせは、こちらのURLからお願いします。

https://www.ics-lab.com/e/

お気軽にお声がけください。