OTセキュリティソリューションOTセキュリティ対策ガイド
OTセキュリティ対策に役立つガイドライン紹介
OTセキュリティ対策においてガイドラインを使ったほうが良いのは分かるけれど、内容も多く専門的で、自社でどう生かせるのか判断がつかない、そんな状態で止まってしまうケースは少なくありません。
本記事では、主要なガイドラインの役割や活用メリットを整理し、導入の足がかりを見つけるヒントをわかりやすく解説します。
目次
1.はじめに
OTセキュリティ対策を導入したいが何をどう進めればよいかわからない、あるいは上司や取引先から「十分に対策できているか?」と質問されたとき対応に困ってしまう、ということはないでしょうか。そんな時は、国の機関や業界団体、国際標準化団体などの組織から発行されたガイドラインを活用するのがおすすめです。
ガイドラインを活用することのメリットとして、以下のようなことが挙げられます。
効率的にセキュリティを強化できる
多くのガイドラインは、これまでのベストプラクティスを基に専門家によって作成されています。ガイドラインを活用することで対策の強度や網羅性を担保することができ、効率的にセキュリティを強化することができます。
社内への説得力が増す
社会や業界への影響力がある組織が発行したガイドラインを用いることで、セキュリティを専門としない人に対しても、セキュリティ対策の内容が適切であることの説得力が増します。例えば、経営層に対して予算承認を得る際や、現場部門に対して新しいセキュリティ対策の導入を説明する際に有効です。
ステークホルダーからの要求に対応できる
セキュリティに関する社会からの要求は年々高まっており、取引先、投資家、業界などの社外の関係者(ステークホルダー)からセキュリティリスクへの対応を求められることもあります。「○○ガイドラインに沿ってセキュリティ対策をしている」と表明することで、実施している対策の概要を伝えることができ、ステークホルダーからの要求に対応していると示すことができます。
2.OTセキュリティにおける代表的なガイドライン
以下、2025年6月時点の情報を基に、OTセキュリティにおけるガイドラインや規格をご紹介します。
業種や業界を限定しないガイドライン
「IEC 62443シリーズ」、「NIST SP800-82」は国際的に参照されていますが、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」は主に日本国内の企業による利用が想定されています。
OTセキュリティにおける代表的なガイドライン(業種・業界を限定しないもの)
| タイトル | IEC 62443シリーズ | NIST SP 800-82 Rev. 3 Guide to Operational Technology (OT) Security |
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン ver.1.1  |
|---|---|---|---|
| 作成・発行元 | ISA(国際自動制御学会) IEC(国際電気標準会議) |
NIST(アメリカ国立標準技術研究所) | 経済産業省 産業サイバーセキュリティ研究会 |
| 発行年 | — | 2023年 | 2025年 |
| 概要 | 産業用自動制御システム(IACS)のセキュリティを確保するための推奨セキュリティ対策を規定した国際標準規格。 扱う内容が異なる10以上の文書によって構成されており、2009年に最初の文書が発行されてから現在も発行・改定が続いている。 | 安全なOTの確立のためのガイダンスや、IT向け文書であるNIST SP800-53をOT向けにカスタマイズするための説明を記載。2011年に第1版、2015年に第2版が発行されている。 | 工場のセキュリティ対策を企画・実行する際の考え方やステップと、技術面、運用・管理面の対策例を記載。2024年には別冊(スマート化を進める上でのポイント)が発行。 |
IEC 6443シリーズ
OTセキュリティにおける国際標準規格です。サプライチェーン全体にわたって広い領域をカバーしており、他の標準・ガイドラインや法規制から参照されることも多いです。テーマごとに文書が分かれており、それぞれに詳細なセキュリティ要件が記載されています。
NIST SP 800-82
アメリカの政府機関NISTによるセキュリティ関連文書SP800シリーズのうち、OTセキュリティに関する文書です。セキュリティ対策の進め方、リスク管理、技術的な対策の説明など、幅広い内容を扱っています。アメリカの政府機関が利用する前提で作成された文書ですが、一般企業にとっても有益です。
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン
国内産業界のセキュリティの底上げを目的として経済産業省が作成・発行しているガイドラインのうち、工場を対象としたものです。セキュリティ対策の進め方を中心として、具体的な対策例や参考情報などを記載しています。
業種・業界を限定したガイドライン
特定の業種・業界を対象にしたガイドラインや規格も発行されています。日本国内のお客様からのお問い合わせが多いものを中心にいくつかご紹介します。
- 自動車産業自工会/部工会・サイバーセキュリティガイドライン
- 半導体製造SEMI E187/E188
- 鉄道鉄道分野における情報セキュリティ確保に係る安全ガイドライン
- ビルシステムビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン
- 電力電力制御システムセキュリティガイドライン
自工会/部工会・サイバーセキュリティガイドライン
| 対象の分野・範囲 | 自動車産業 |
|---|---|
| 作成・発行元 | 日本自動車工業会(自工会) 日本自動車部品工業会(部工会) |
| 発行年 | 2024年 |
| 概要 | 自動車産業全体のサイバーセキュリティ対策のレベルアップと、対策レベルの効率的な点検の推進を目的としたガイドライン。2020年の第1版発行から改訂を重ねている。現時点ではIT領域のみが対象となっているが、工場領域への拡張が行われている。 |
自動車産業のセキュリティ対策のレベルアップを目的として、国内業界団体から発行されたガイドラインです。現時点ではIT(OA)領域のみを対象としていますが、工場領域への拡張が進められています。要求事項に対し複数の達成基準があり、Lv1~3に分類されているのが特徴です。
SEMI E187/E188
| 対象の分野・範囲 | 半導体製造 |
|---|---|
| 作成・発行元 | SEMI(国際半導体製造装置材料協会) |
| 発行年 | 2022年 |
| 概要 | 半導体デバイスの製造工場(ファブ)のセキュリティ確保のために、半導体製造装置の開発・導入・運用・保守の各フェーズで求められるセキュリティ要件を定めた業界規格。 |
半導体産業の国際業界団体SEMIによるセキュリティ規格です。半導体製造に用いられるコンピュータや装置、デバイスへのセキュリティ要件を定めています。半導体デバイスメーカーがE187を要件として採用した事例もあり、製造装置メーカーへのセキュリティ要求として活用されています。
鉄道分野における情報セキュリティ確保に係る安全ガイドライン
| 対象の分野・範囲 | 鉄道 |
|---|---|
| 作成・発行元 | 国土交通省 |
| 発行年 | 2024年 |
| 概要 | 重要インフラ分野である鉄道分野のサイバーセキュリティ確保のため、事業特性に応じた対策項目を推奨基準としてまとめたガイドライン。2006年の初版発行から、重要インフラに係るセキュリティ政策の推進に伴い改定されている。 |
重要インフラ分野の一つである鉄道分野のサイバーセキュリティ確保のため、国土交通省が作成・発行しているガイドラインです。セキュリティ対策のPDCAサイクルや、鉄道事業の特性に応じたセキュリティ対策が推奨基準としてまとめられています。
ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン
| 対象の分野・範囲 | ビルシステム |
|---|---|
| 作成・発行元 | 経済産業省 産業サイバーセキュリティ研究会 |
| 発行年 | 2023年 |
| 概要 | ビルの管理・運用を行う制御システム(電力、空調、照明などの個別システムやそれらを統合管理するシステム)のセキュリティ対策を記載。 2019年に第1版が発行。2022年には個別編として空調システム向けのガイドラインも発行されている。 |
経済産業省が作成・発行しているガイドラインのうち、ビルシステムを対象としたものです。セキュリティ対策の考え方、セキュリティリスクと対策、インシデント発生時の対応などが記載されています。
電力制御システムセキュリティガイドライン(JEAG 1111-2024)
| 対象の分野・範囲 | 電力 |
|---|---|
| 作成・発行元 | 日本電気協会 |
| 発行年 | 2025年 |
| 概要 | 発電や送配電に関するシステムのサイバーセキュリティ確保のため、電気事業者が実施すべきセキュリティ対策を定めたガイドライン。2016年に第1版発行。 |
電力分野の中でも、発電や送配電に関するシステムのセキュリティ対策を定めたガイドラインです。電気事業法等に基づき、対象システムは本ガイドラインに基づく対策が求められます。なお、電力分野は自由化に伴ってさまざまなプレイヤーが関わっており、本ガイドライン以外にもプレイヤーごとのセキュリティ対策を定めたガイドラインが複数発行されています。
3.OTセキュリティ導入に適した経産省「工場セキュリティガイドライン」
ガイドラインや規格にはそれぞれに特徴や適した利用シーンがありますが、ここでは経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」(以下「工場セキュリティガイドライン」と記載)について詳しく取り上げます。
「工場セキュリティガイドライン」を推奨する5つの理由
国内企業において説明性が高いほか、以下のような特徴からIEC 62443シリーズ・NIST SP800-82と比べて読みやすく、OTセキュリティの初期導入に適しています。
-
Reason01
IT/セキュリティ部門以外に生産部門やベンダ等も想定読者としており、理解しやすい内容・記述となっている
-
Reason02
具体的な例示が多い
-
Reason03
適用可能な範囲が広い
タイトルどおり工場を対象としたガイドラインであるものの、実際には工場以外のOT環境にも適用でき、業種・業界を選ばない内容となっているため、広く利用することが可能です。
-
Reason04
今後の政策で参照される可能性がある
経産省は、政府調達などへの要件化を通じてセキュリティガイドラインの実効性を強化する方針を挙げています。現在作成中の半導体業界向けセキュリティガイドラインでも工場セキュリティガイドラインが参照されており、今後の政策においても参照される可能性が高いと想定されます。
-
Reason05
別冊でDXにも対応している
2024年発行されたガイドライン「スマート化を進める上でのポイント
」では、スマート化(工場DX)に伴うセキュリティリスクの増加にも対応しています。ガイドライン本文と合わせて活用することで、工場のDX化をセキュアに推進することが可能です。
「工場セキュリティガイドライン」活用の注意点
一方で、個々のセキュリティ対策の深掘りや詳細なセキュリティ要件は含まないため、そういった情報が必要になれば、ソリューションを提供しているベンダへの問い合わせや他のガイドラインも参照するのがよいでしょう。
次回以降、この工場セキュリティガイドラインに基づいたセキュリティ対策の進め方について詳しく見ていきます。
4.まとめ
OTセキュリティに関するガイドラインについて紹介しました。セキュリティ対策を効率的に実装し、ステークホルダーの要求に応えるために、これらのガイドラインを活用することが推奨されます。なお、ガイドラインは汎用的な文書である分、個別の会社や拠点の事情に合わない場合もあります。最終的には、ガイドラインをベースとしつつ、自社の事情に合ったセキュリティ対策を実装することが望ましいです。
次回は、経産省「工場セキュリティガイドライン」に基づくOTセキュリティ対策の進め方の概要を解説します。
当社では、ガイドラインや法規制の最新動向を踏まえつつ、お客様の現場環境に合わせて要求事項を解釈し、具体化することが可能です。お困りの際はお気軽にご相談ください。
