2023年 - VECサロン

製造業DX工場のデジタルトリプレットと制御システムセキュリティ

6月21日から23日に東京ビッグサイトで開催される製造業DX展にVEC（Virtual Engineering Community）が展示参加する。VECは1999年6月に創設し、24周年を迎える任意団体である。VECブースでは、VEC会員の有志が制御システムセキュリティに関する合同デモ展示をする。その中で、株式会社ICS研究所が提案するソリューションについて記述する。

1. 製造業DX動向

製造業DXとは、デジタルツインやシミュレーションやAIを駆使したスマート工場を皆さんは想像するだろう。欧州ではEU Cyber Resilience Act、米国では国防総省のCMM認証、ISO／IEC27001-2022ではCybersecurity＋Privacy Protectionを実現して、GAIA-Xを基盤に自動車業界のCatena-XやオランダのSCSNなど、各国がサプライチェーン上の企業間連携バリューチェーンを実現した産業構造が当たり前になる時代が来ている。
その時代変化に適合し、企業が生き残っていくには、CPS（Cyber Physical System）をバースにして知的活動を実現したデジタルトリプレット（Digital Triplet）を実現した工場を目指す企業が登場している。

図1を見るに、デジタルトリプレットの知的活動ゾーンには、形式知を成長させる製品開発モデル／生産技術モデル／生産管理モデル／構内物流管理モデル／品質管理モデル／生産システム構造モデルなどがあり、暗黙知を成長させる各部門の課題を解決できるノウハウなどを引き出して形式知のモデルの知的データベースを創り出す仕組みがあります。その仕組みが企業価値を高める活動になっていきます。

図2にあるように、生産技術のVモデルでは、製造システムセキュリティ対策を実施しながら、新製品の生産を実現するための完成度を上げる取り組みをデジタルトリプレットの知的活動の中で実施することになる。生産技術の役割は、開発した製品を生産できるようにすることです。生産技術者が取り組む課題は、製品開発感性から生産開始までの時間を短縮する、生産工程内品質検査を確立することで不良品を造らない、生産効率の適正管理を実現するがあげられる。生産技術部門がこれらの課題を解決していくために関わる部門も製品開発部門、受注設計部門、ソフトウェア開発部門、購買部門、調達先企業、生産管理部門、品質管理部門などになる。この部門連係を実現する社内ネットワークや企業間連携を実現するデータ連携が構築されている。これらの関連部門や企業と打ち合わせするのに、3DCAD、CAE、シミュレータ、BOM、などを駆使して対応するデジタルツインやAIを活用している。その機密管理を目的にデータセキュリティ技術が使われる。また、生産現場の中間在庫管理の最適化や生産工程でジャストインタイム管理を必要とする工程の確認などにデジタルツイン技術を活用したシミュレーションが活躍します。ものづくり品質管理を目的に、トレーサビリティの作業データの基盤となる現場作業の加工工程後の仕上がり品質の計測検査データや作業履歴と各工程の品質チェックデータなどがある。
ISO／IEC27001-2022やCMMC（Cybersecurity Maturity Model Certification）で要求している機密情報プロテクト機能もOPC UAを使用することで対応できる。

2. 法規制や国際標準規格

製造業DXシステムも生産システムの一部であることから、世界市場では、制御システムセキュリティ対策が求められている。

図3にあるように国によってサイバーセキュリティに関する法規制があり、強化されている。
欧州市場の法規制にNIS2指令やEU Cyber Resilience Act.があり、米国市場では、国防総省のCMMC（Cybersecurity Maturity Model Certification）がある。産業別サプライチェーン強化にはGAIA-Xの仕様で企業間連携を構築する大手企業が増えている。企業間連携のバリューチェーン接続には、参加企業にISO／IEC27001-2022が求められ、そこで使用する通信仕様はOPC UAが求められている。
ISO／IEC27001-2022では、従来のInformation Security SystemにCyber SecurityとPrivacy Protectionを装備してInformation System Managementを実施することを要求している。
生産システムのCyber Securityに対処するには、制御システムセキュリティと制御セキュリティが不可欠である。
さらに、企業機密を守るだけでなく、顧客とのビジネス上で必要となる顧客の機密情報が企業内ネットワークやデータベースやクラウドに存在する。サプライチェーンセキュリティ対応の時代到来である。

3. ゼロトラストは製造業に不適合

ゼロトラストとは、ネットワークの境界を設けないサイバーセキュリティ対応思想である。

図4にあるように、生産システムのネットワーク定義のISA-95に、制御システムセキュリティ対策のISA-99（基本基準は、ISA／IEC62443）を適用する場合、セグメント設計とゾーン設計であり、ネットワーク境界を持つことをセキュリティ要求している。よって、IEC62443-4-2製品認証やIEC62443-3-3制御システム認証を取得することを義務化された生産システムには、ゼロトラストの思想は適合しない。

4. 制御システムセキュリティ

最近の製造業ではデジタルツインやシミュレーション、AIを活用するスマート工場が増えている。また、サプライチェーン企業連携を採用して、部品調達のジャストインタイムや準ジャストインタイムを採用する工場も増えている。その実状に合った製造システムセキュリティを実現するには、データダイオードやミラーリングデバイスも使用して、理想的な生産システムを構築することができる。さらに、IEC62443-3-3セキュリティ要件のセグメント／ゾーン設計における境界では、OPC UAだけ通過を許可することで容易に境界レベルを上げることができる。また、IBMやSAPのERPもOPC UAインターフェースを持っており、企業間連携を構築するGAIA-Xを採用しているCatena-XやSCSNでは、企業責任でISO27001-2022を取得し、企業間通信は、OPC UAを採用することを参加条件にしている。
注：GAIA-Xには、サイバーセキュリティ対策は書かれていない。

OPC Classicの仕様とされているOPC DAやOPC HADやOPC Alarm＆EventはOLE（Object Linking and Embedding）には、改善できない脆弱性があることから、OPC Classicを使用しているコンポーネントはIEC62443-4-2認証を取得できない。

5. 制御セキュリティ

IEC62443-4-1組織認証はドキュメント整備なので取得は容易である。しかし、IEC62443-4-2製品認証のセキュリティレベル2以上を取得するとなると、コントローラ構造などの多層防御の実装技術や検証技術が不可欠である。

特に、制御装置、工作機械、搬送機、DCS、PLC、CNC、ロボットコントローラなどには、堅牢性テストや脆弱性テストを通じて、サイバー攻撃に強い設計構造であるかどうかの判定をするノウハウが必要となる。

6. 製造業DX展東京のVECブースで制御セキュリティ合同デモ展示

6月21日から23日に東京ビッグサイトで開催される製造業DX展のVECブースでは、CNCとPLCと小型ロボットを対象にしたペネトレーションテストの合同デモをご紹介します。
また、展示参加しているVEC会員がお相手する相談コーナーもございます。

展示参加のVEC会員企業

• 株式会社ICS研究所: IEC62443認証取得人材育成コンサルティング、制御セキュリティ多層防御専門人材育成コンサルティング、製造業DXシステム構築人材育成コンサルティング
• NECソリューションイノベータ株式会社: ペネトレーションテスト専門事業
• オークマ株式会社: 工作機械、制御セキュリティ機能付きCNC
• 日本ダイレックス株式会社: データダイオード製品
• 日立ソリューションズ株式会社: IEC62443認証コンサルティング
• 株式会社ベルチャイルド: インシデント監視ITシステムインテグレータ

皆様のご来場をお待ちしております。

宜しくお願いします。