「工場のDXを進めたい」「設備データを集めたい」「AIで不良や停止を予測したい」
こうした相談が増える一方で、見落とされやすいテーマがあります。
それが、OTセキュリティです。
OTとは、Operational Technology の略で、工場設備や制御システムを動かす技術領域のことです。たとえば、PLC、ロボット、センサー、表示端末、製造実行システム、設備監視システムなどが含まれます。事務所のパソコンやメールを守るITセキュリティに対して、OTセキュリティは工場を安全に動かし続けるためのセキュリティです。
工場のDXでは、これまで工場内だけで使われていた設備や制御機器が、社内ネットワーク、クラウド、保守ベンダー、データ分析ツールとつながり始めます。設備データを集めるほど、遠隔保守を入れるほど、AI活用を進めるほど、工場の外との接点は増えます。
便利になる一方で、攻撃や誤操作が入り込む経路も増えます。
この記事では、中小製造業が工場のDXを進める前に押さえておきたいOTセキュリティの基本を整理します。専門部署がなくても始められるように、最初の30日、60日、90日で何をするかという順番でまとめます。
OTセキュリティは、IT部門だけの仕事ではない
セキュリティというと、ウイルス対策ソフト、パスワード管理、不審なメールやリンクへの注意を思い浮かべる方が多いかもしれません。
もちろん、それらは大切です。
しかし、工場のセキュリティでは、守る対象が少し違います。メールや文書データだけでなく、生産設備、安全装置、品質データ、稼働条件、納期そのものを守る必要があります。
たとえば、次のようなことが起きると、単なる情報漏えいでは済みません。
- 生産設備が停止する
- 制御パラメータが書き換わる
- 検査データや製造記録が見られなくなる
- 遠隔保守用の接続が悪用される
- バックアップが暗号化され、復旧できなくなる
- 顧客への納期回答ができなくなる
工場にとって、システム停止は生産停止に直結します。生産停止は、納期遅延、特急対応、外注費の増加、顧客信用の低下につながります。
つまり、OTセキュリティは「守りのためのIT費用」ではありません。工場の稼働と取引先への供給を守るための事業継続投資です。
工場で守るものをSQDCBで考える
OTセキュリティを「情報漏えい対策」とだけ説明すると、現場には伝わりにくくなります。
この記事では、工場で守るものを SQDCB で整理します。SQDCB とは、安全、品質、納期、コスト、事業継続をまとめて見るための、この記事内での整理です。
| 観点 | OTセキュリティで守るもの |
|---|---|
| Safety:安全 | 設備やロボットを安全に止める、危険な制御を起こさない |
| Quality:品質 | レシピ、検査データ、製造条件、品質記録を守る |
| Delivery:納期 | 工場停止や復旧遅れによる納期遅延を防ぐ |
| Cost:コスト | 緊急復旧、外注代替、廃棄、再検査の発生を抑える |
| Business Continuity:事業継続 | 取引先への供給責任、監査対応、信用を守る |
この見方に変えると、OTセキュリティは情報システム部門だけの話ではなくなります。工場長、品質保証、設備保全、生産技術、経営者が関わるテーマになります。
特に中小製造業では、専任のセキュリティ担当者がいないことも多いです。その場合こそ、難しい専門用語から入るよりも、「この設備が止まったら何が困るか」「この品質記録が失われたら何が起きるか」から考える方が、対策の優先順位を決めやすくなります。
なぜ工場のリスクが増えているのか
工場のセキュリティリスクが増えている背景には、設備や制御機器が、社内ネットワーク、クラウド、保守ベンダーのシステムとつながる場面が増えていることがあります。
昔の工場では、制御システムは外部ネットワークから切り離されていることが多くありました。設備メーカーが現地に来て保守し、データは現場のパソコンや紙帳票で管理される。そうした運用では、外部から直接侵入される経路は限られていました。
しかし今は違います。
生産実績をクラウドに上げる。設備の稼働データを見える化する。保守ベンダーが遠隔で設備状態を見る。検査画像をサーバーに保存する。AI分析のためにデータを外部サービスへ渡す。
この変化は、工場のDXにとって自然な流れです。
一方で、経済産業省の工場セキュリティガイドラインでも、工場のIoT化や自動化、クラウドやサプライチェーンとの接続が進むことで、新たなセキュリティ上のリスクが増えていると整理されています。
ここで重要なのは、「インターネットにつないでいないから安全」とは言い切れないことです。USBメモリ、保守用パソコン、ベンダーの持ち込み端末、社内ネットワーク経由の接続など、工場には外部との接点が多くあります。
工場のDXを進めるほど、これらの接点は増えます。だからこそ、DXの前にOTセキュリティを考える必要があります。
ITとOTでは、守り方の優先順位が違う
ITセキュリティの考え方を、そのまま工場に持ち込むと失敗することがあります。
理由は、ITとOTでは優先順位が違うからです。
| 観点 | IT領域 | OT領域 |
|---|---|---|
| 主な対象 | パソコン、サーバー、メール、業務システム | PLC、設備、センサー、ロボット、 表示・操作端末(HMI)、 設備監視システム(SCADA) |
| 最優先 | 情報の保護、業務データの安全 | 安全、生産継続、品質維持 |
| 更新頻度 | 比較的更新しやすい | 設備寿命が長く、更新しにくい |
| 停止の扱い | 計画停止や再起動がしやすい | 1回の停止が生産影響に直結する |
| パッチ適用 | 月次更新が前提になりやすい | 設備メーカーの確認や計画停止が必要 |
| 現場制約 | 標準化しやすい | 設備ごとの個別事情が大きい |
たとえば、事務所のパソコンなら、セキュリティ更新後に再起動しても大きな問題にならない場合があります。ところが、制御PCや設備監視端末では、再起動のタイミングを間違えるとライン停止につながります。
また、古い設備や制御プロトコルの中には、現在のIT機器のような認証や暗号化を前提にしていないものもあります。
だからといって、すぐに全部を更新できるわけではありません。設備メーカーの保証、現場での検証、停止時間の確保が必要です。古い設備を守るには、機器そのものを一気に入れ替えるのではなく、外部との接続を絞り、不要な通信を減らし、復旧できる状態を作ることが現実的です。
OTセキュリティで最初に大切なのは、「強いセキュリティ製品を入れること」ではありません。
まず、今ある設備を止めずに、安全に使い続けられる状態を作ることです。
最初にやることは、ツール導入ではなく棚卸し
中小製造業がOTセキュリティを始めるとき、いきなり高価な監視ツールを入れる必要はありません。
最初にやるべきことは、何がどこにつながっているかを知ることです。
これができていないと、何を守るべきか分かりません。どの機器が古いのか、どの設備が外部とつながっているのか、どのベンダーが遠隔接続できるのかも分かりません。
まずは、次のような台帳を作ります。Excelで十分です。
| 項目 | 記入例 |
|---|---|
| 機器名 | 第2ライン 検査装置PC |
| 設置場所 | 第2工場 仕上げ検査工程 |
| 用途 | 検査画像保存、設備制御との連携 |
| IPアドレス | 192.168.xx.xx |
| OS・ファームウェア | Windows系、専用OSなど |
| 接続先 | 社内サーバー、PLC、外部保守回線 |
| 保守ベンダー | A社 |
| リモート接続の有無 | あり、なし、不明 |
| USB使用の有無 | あり、なし |
| バックアップ | あり、なし、未確認 |
| 停止時の影響 | 当該ライン停止、品質記録停止など |
この段階で大切なのは、完璧な台帳を最初から作ることではありません。
まず「不明」を見えるようにすることです。
現場では、「このパソコンは誰が管理しているのか分からない」「このLANケーブルがどこにつながっているか分からない」「この保守用アカウントが今も有効か分からない」ということが起きます。
OTセキュリティの第一歩は、この不明を減らすことです。
最初の30日でやること
最初の30日は、対策を打つよりも現状を知る期間にします。
1. 工場内の機器を一覧化する
まず、ネットワークにつながっている機器を洗い出します。対象はパソコンだけではありません。PLC、表示端末、設備監視端末、検査装置、バーコード端末、ロボットコントローラ、無線機器、遠隔保守用ルーターも含めます。検査画像や設備データを保存する共有ストレージである NAS も、忘れずに対象に入れます。
この段階では、すべての情報が埋まらなくても構いません。「誰が管理者か分からない」「OSが不明」「接続先が不明」も、そのまま記録します。
2. 外部との接続点を洗い出す
次に、工場の外とつながる経路を洗い出します。
特に確認したいのは、保守ベンダーの接続です。設備メーカーやシステム会社が、どの機器に、どの経路で、いつ接続できるのかを確認します。
| 確認項目 | 見るポイント |
|---|---|
| 接続経路 | VPN、専用線、リモートデスクトップ、保守用ルーター |
| 接続タイミング | 常時接続か、作業時のみか |
| 承認方法 | 工場側の承認が必要か |
| アカウント | 個別アカウントか、共用アカウントか |
| ログ | 誰が、いつ、何をしたか残るか |
| 終了確認 | 作業後に接続が切られるか |
保守のためのベンダーの接続は必要なものです。問題は、誰も把握していない接続が残っていることです。
3. バックアップの有無を確認する
ランサムウェア対策で重要なのは、侵入を完全に防ぐことだけではありません。止まったときに戻せることです。
バックアップは「取っている」だけでは足りません。戻せるかどうかを確認する必要があります。
| 確認項目 | 内容 |
|---|---|
| 対象 | 制御PC、検査PC、レシピ、PLCプログラム、設定ファイル、品質記録 |
| 保存場所 | 同じPC内か、別媒体か、ネットワーク外か |
| 頻度 | 毎日、毎週、変更時のみ |
| 復元手順 | 誰が、どの順番で戻すか |
| 復元テスト | 実際に戻せることを確認しているか |
特に、同じネットワーク上の共有フォルダだけにバックアップがある場合は注意が必要です。攻撃や障害の影響を一緒に受ける可能性があるからです。
60日目までにやること
30日で現状が見えてきたら、60日目までに小さく技術対策を行います。
1. ITとOTの境界を分ける
最初にやりたいのは、事務所の情報系ネットワークと、工場の制御系ネットワークを分けることです。
完全な設計がすぐにできなくても、まずは「何でも通る状態」をやめます。
中小工場では、国際標準やPurdueモデルをそのまま全部入れるよりも、まず次の3層で考えると整理しやすくなります。Purdueモデルとは、工場の制御システムを階層で分ける代表的な考え方です。
| 層 | 対象 | 役割 | 最初に決めること |
|---|---|---|---|
| 情報系 | メール、基幹システム、 事務所PC | 受発注、会計、メール、文書作成などの 事務処理を行う | 工場設備へ自由に接続しない |
| 工場管理系 | 製造実行、設備監視、 データ収集サーバー | 現場の設備データを集め、稼働状況や 生産実績を見える化する | 情報系(IT)と現場制御系 (OT)の橋渡しを管理する |
| 現場制御系 | PLC、ロボット、 センサー、HMI | 設備を直接動かし、現場の信号や 操作を扱う | 必要な通信だけに絞る |
ここでいう工場管理系は、設備を直接動かす層ではなく、現場からデータを集めて、生産実績や設備状態を見える化する層です。一方、現場制御系は、PLC、ロボット、センサー、HMI など、設備の動きに直接関わる層です。工場管理系は情報系と現場制御系の橋渡しになりやすいため、ここを通る通信を管理することが重要になります。
ここで重要なのは、いきなり現場の通信を止めないことです。まず通信を見える化し、必要な通信を確認したうえで、段階的に制限します。
2. リモート接続のルールを作る
遠隔保守は、止めるべきものではありません。設備トラブルの早期復旧に役立ちます。
ただし、ルールなしの常時接続は危険です。
最低限、次のルールを決めます。
| 項目 | ルール例 |
|---|---|
| 接続申請 | 作業前に工場側へ申請する |
| 接続時間 | 作業時間だけ有効にする |
| 承認者 | 工場長、保全責任者、IT担当など |
| アカウント | ベンダーごと、担当者ごとに分ける |
| 作業記録 | 作業内容と接続ログを残す |
| 終了確認 | 作業後に接続を切る |
大切なのは、「ベンダーを疑うこと」ではありません。工場側が接続状態を把握し、必要なときだけ許可できる状態にしておくことです。
3. USBの扱いを決める
USBメモリは、工場では今も使われる場面があります。設備プログラムの移動、検査データの回収、古い装置へのファイル投入などです。
そのため、「USB全面禁止」と言っても、現場では守れない場合があります。
現実的には、次のような運用が必要です。
- 私物USBを使わない
- 業務用USBを台帳管理する
- USBを使う前に専用PCでスキャンする
- 制御PCに直接挿すUSBを限定する
- 使った日時、担当者、目的を記録する
USB対策は、難しい技術よりも運用ルールを作ることが有効です。誰のUSBか分からないものが制御PCに挿さる状態をなくすことが第一歩です。
90日目までにやること
90日目までに、技術対策を現場の運用に落とし込みます。
1. アカウントを整理する
工場設備では、長年使われている共用アカウントが残っていることがあります。
「admin」「operator」「maintenance」のようなアカウントを複数人で使っていると、誰が何をしたのか分かりません。退職者や異動者が知っているパスワードが残り続けることもあります。
最初から全設備を個人アカウント化できなくても、次のことはできます。
- 管理者用と作業者用を分ける
- 保守ベンダー用アカウントを分ける
- 退職者・異動者の権限を外す
- 初期パスワードを使い続けない
- パスワードを設備の近くに貼らない
アカウント管理は、地味ですが効果の大きい対策です。
2. ログを残す
セキュリティ事故が起きたときに困るのは、「何が起きたか分からない」ことです。
そのため、最初から高度な監視システムを入れなくても、最低限のログを残します。
| ログ | 見る理由 |
|---|---|
| ファイアウォールログ | 工場ネットワークへの通信を見る |
| リモート接続ログ | 誰がいつ接続したかを見る |
| 認証ログ | ログイン成功・失敗を見る |
| USB接続ログ | どの端末にUSBが挿されたかを見る |
| 変更作業記録 | 設定変更や保守作業を追えるようにする |
最初は、ログを毎日見る必要はありません。まず残すこと、次に月1回でも確認する仕組みを作っていくことが大切です。
3. インシデント時の初動を決める
攻撃や感染が疑われたとき、現場で必ず迷うのが「止めるか、続けるか」です。
この判断を現場の担当者ひとりに背負わせてはいけません。事前に、誰が判断するかを決めておきます。
| 項目 | 決めること |
|---|---|
| 判断者 | 工場長、保全責任者、IT責任者、不在時の代行者 |
| 連絡順 | 現場、保全、品質保証、経営、ベンダー |
| 隔離方法 | LANケーブルを抜く、無線を切る、対象機器だけ止める |
| 停止範囲 | 端末単位、ライン単位、工場単位 |
| 記録 | いつ、誰が、何を見て、何を判断したか |
| 外部相談先 | IPA、JPCERT/CC、警察、支援ベンダーなど |
ここで大切なのは、人の安全や設備破損の危険がない限り、反射的に電源を切らないことです。状況によっては、証拠が失われたり、設備復旧が難しくなったりします。まず安全を確保し、そのうえで可能ならネットワークから切り離し、状態を記録します。こうした初動を事前に決めておく必要があります。
ベンダー契約もセキュリティ対策である
OTセキュリティでは、技術対策と同じくらい契約が重要です。
設備メーカーや保守ベンダーとの契約に、リモート接続やセキュリティ対応の条件が書かれていないことがあります。これでは、事故が起きたときに責任範囲が分かりません。
契約更新や新規設備導入のタイミングで、次の項目を確認します。
| 項目 | 確認する内容 |
|---|---|
| リモート接続 | 常時接続か、作業時だけか |
| アカウント | 個別管理か、共用か |
| 作業記録 | 何をしたか記録されるか |
| インシデント通知 | ベンダー側で感染が分かったとき、いつ連絡するか |
| 持ち込みPC | セキュリティ対策済みか |
| ログ提出 | 必要時に提出できるか |
| 責任範囲 | どこまでがベンダー責任か |
契約書は、トラブル時の責任追及だけのためにあるものではなく、平時から安全な運用を続けるためのルールブックとなります。
1年で工場の仕組みにする
90日で最低限の対策が見えてきたら、1年かけて工場の仕組みにしていきます。
最初にやるべきことは、復旧訓練です。
バックアップは、復旧できて初めて意味があります。年に1回でもよいので、復旧訓練を行います。対象は、いきなり本番ラインでなくても構いません。予備PC、検証用端末、過去の設定ファイルで確認します。
見るべきことは次の通りです。
- 誰がバックアップの場所を知っているか
- 必要なパスワードやライセンスはあるか
- PLCプログラムやレシピを戻せるか
- 検査データや品質記録を復元できるか
- 復旧に何時間かかるか
- ベンダーに連絡がつくか
復旧時間が分かると、経営判断もしやすくなります。何時間止まると出荷に影響するのか、どのラインを優先して戻すのかを決められるからです。
次に、棚卸し、リモート接続、USB、アカウント、ログ、バックアップの点検を定期業務にします。四半期に1回でもよいので、台帳と実機の差分を見ます。
OTセキュリティは、初回だけ頑張る活動ではありません。設備更新、ライン改造、新しい検査装置の追加、クラウド連携の開始に合わせて、少しずつ更新する活動です。
中小製造業はどこまでやればよいのか
ここまで読んでこられると、「かなり大変ではないか」と感じられるかもしれません。
OTセキュリティには、工場や制御システムを守るための国際規格や実務ガイドがあります。たとえば IEC 62443 は、工場などの制御システムを安全に設計・運用するための国際規格です。NIST SP 800-82 は、OT セキュリティを進めるための実務ガイドとしてよく参照される資料です。
ただし、こうした内容を最初からすべて本格導入しようとすると、中小企業には重くなります。専門人材、予算、停止時間、ベンダー調整が必要になるためです。
しかし、最初から全部やる必要はありません。
中小製造業がまず目指すべきなのは、次の状態です。
- 工場内に何がつながっているか分かる
- 外部から誰が入れるか分かる
- ITとOTの境界が分かる
- USBや保守接続のルールがある
- バックアップを戻せる
- 事故時に誰へ連絡するか決まっている
- ベンダーとの責任範囲が分かる
これだけでも、何もない状態とは大きく違います。
OTセキュリティは、最新ツールを入れる競争ではありません。自社の工場を止めないために、接続、権限、復旧、責任範囲を見えるようにする取り組みです。
なお、補助金や支援制度を使う場合は、年度ごとに対象や条件が変わります。制度名だけで判断せず、自社のネットワーク構成、設備台帳、復旧計画、ベンダー契約を整理したうえで、支援機関や専門家に相談する方が無駄が少なくなります。
工場のDXとOTセキュリティはセットで考える
工場のDXでは、データを集めることが重要になります。
設備の稼働データ、品質データ、検査画像、エネルギー使用量、保全履歴。こうしたデータを集めることで、見える化、予兆保全、品質改善、AI活用が進みます。
しかし、データを集めるためには、設備をネットワークにつなぐ必要があります。
ここでOTセキュリティを後回しにすると、DXで増やした接続点がそのままリスクになります。クラウド連携、遠隔保守、外部分析サービス、現場端末、無線ネットワーク。便利なものほど、入口にもなり得ます。
だからこそ、工場のDXの初期段階で次の問いを持つ必要があります。
- その設備は、どこにつながるのか
- そのデータは、どこに保存されるのか
- その接続は、誰が許可するのか
- そのアカウントは、誰が管理するのか
- そのシステムが止まったら、どう戻すのか
- そのベンダーは、どこまで責任を持つのか
この問いを持たずにDXを進めると、あとからネットワーク構成、契約、運用を作り直すことになります。
OTセキュリティは、DXを止めるブレーキではなく、DXを安心して続けるための土台となるものです。
まとめ:OTセキュリティは、工場を止めないための現場設計である
OTセキュリティは、難しい専門用語の世界に見えます。
しかし、中小製造業が最初にやるべきことは、とても現実的です。
どの設備や端末がネットワークにつながっているのかを確認する。誰が、どの機器に、どの方法で接続できるのかを把握する。異常が起きたときに止める範囲と、復旧する手順を決めておく。保守ベンダーとは、接続方法、作業記録、事故時の連絡方法をあらかじめ明確にしておく。
この積み重ねが、工場のDXを支えます。
IoT、AI、クラウド、遠隔保守は、これからの製造業にとって大きな武器になります。ただし、その武器は工場の外との接点を増やします。接点を増やすなら、同時に守り方も決める必要があります。
中小製造業が最初に取り組むべきOTセキュリティは、高価なツール導入ではありません。
まず、1つのライン、1つの設備、1つの保守接続から棚卸しを始めることです。そこから、ネットワークの境界、USBの扱い、アカウント管理、バックアップ復旧、緊急時の連絡先を整えていきます。
工場のDXの前に、まず止めない仕組みを作る。
それが、中小製造業にとってのOTセキュリティの第一歩です。
出典・参考リンク
経済産業省|“工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン”|https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
経済産業省|“工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.1”|https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems/20240417_1.pdf
IPA|“制御システムのセキュリティリスク分析ガイド 第2版”|https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
IPA|“情報セキュリティ10大脅威 2026”|https://www.ipa.go.jp/security/10threats/10threats2026.html
NIST|“SP 800-82 Rev. 3, Guide to Operational Technology (OT) Security”|https://csrc.nist.gov/pubs/sp/800/82/r3/final
JPCERT/CC|“制御システムセキュリティ”|https://www.jpcert.or.jp/ics/
CISA|“Cross-Sector Cybersecurity Performance Goals”|https://www.cisa.gov/resources-tools/resources/cross-sector-cybersecurity-performance-goals
ISA|“ISA/IEC 62443 Series of Standards”|https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
-150x150.png){kind=avatar}
