安全とセキュア: 一方が欠けていたら、もう一方も得ることはできない

産業用モノのインターネット(IIoT)と安全･セキュアに関する話題の多くは、2つの別々のトピックを中心に展開されます。それは、人や機器を保護するための「スマート」な機械やプロセスの安全、または独立したトピックとしての産業用制御システムの安全性です。

これらの話題は重要かつ有効です。しかし、あまりにも多くの産業用機械メーカが、一般的なセキュリティリスクが持つ固有の安全への影響に着目していません。

トルコで石油パイプラインがハッキングされ、爆発と3万バレルの原油流出を引き起こした際、サイバー攻撃者は既存の安全システムを否定してアラームを停止させ、通信を遮断し、ライン内の原油を超高圧化させたのです。

ある地域の水道事業者は、サイバーセキュリティ侵害により顧客データが漏洩しただけでなく、水処理と公共の安全を管理するPLCの操作など、バルブやダクトの不可解な動きを引き起こした経験があります。

産業生産では、安全プログラムとセキュリティプログラムは表裏一体です。

多くのお客様がIIoT技術を活用して、生産機械へのリモートアクセス、ポンプ場へのワイヤレスアクセス、工場内の機器をITインフラに接続するなどの取り組みを行なっています。

これが未来なのです。これによって、資産の利用率の向上、市場投入までの時間の短縮、総所有コストの削減を実現することができるのです。しかし、接続性が高まれば、セキュリティリスクが高まり、安全に影響を及ぼす可能性があります。そこで、より優れた企業リスクの管理が重要になります。
 

安全とセキュリティの統合的な取り組み

安全とセキュリティは従来、別々のものとして扱われてきましたが、リスクを分析し、軽減するためのアプローチには共通性があります。例えば、「アクセスコントロール」という考え方は、セーフティとセキュリティで共通しています。どちらの場合も、ポリシーや手続きはビジネス慣行、リスクマネジメントのアプローチ、アプリケーションの要件、業界標準に基づいて構築されます。

セキュリティに基づく安全事故の可能性を減らしたい製造メーカや産業界の事業者は、このように安全について考え直す必要があります。具体的には、安全とセキュリティを互いに関連付ける形で考え始めることです。これが最も大きな効果を発揮するのは、次の3つの領域です。

1. 行動: セキュリティ担当者は、知的財産、プロセス、および物理的な資産を保護することに加え、安全システムを保護することをすべての行動の中核的価値観とする必要があります。また、EHS、オペレーション、ITの各チーム間の協力体制の強化もより重要です。例えば、3つのチームすべてが協力して、安全およびセキュリティに関する共同管理目標を策定し、工場フロアのシステムから重要な安全データ要件を特定する必要があります。また、強力な安全文化はすべての従業員を巻き込むため、セキュリティと安全の関係について全社的に理解する必要があります。
2. 手順: コンプライアンスへの取り組みは、IEC 61508や61511などの安全規格のセキュリティ要件を満たす必要があります。逆に、セキュリティへの取り組みは、深層防護のアプローチに従い、組織のすべてのレベルで安全関連のセキュリティリスクに対処する必要があります。深層防護は、IEC 62443「産業用オートメーションおよび制御システムのセキュリティ」規格シリーズ(旧ISA99)などで推奨されています。
3. テクノロジ: すべての安全技術にはセキュリティ機能が組み込まれていなければならない。また、安全システムの侵害から保護し、侵害が発生した場合に迅速な回復を可能にするセキュリティ技術を使用する必要があります。
    

リスク軽減

安全に影響を及ぼす可能性のあるセキュリティ脅威は、正直言って非常に膨大な数にのぼります。したがって、セキュリティに基づく安全リスクの軽減は、自社が最も脆弱である場所を理解することから始める必要があります。

そのためには、安全とセキュリティのリスクアセスメントを別々に実施し、レポートを比較することで、セキュリティが安全に最も影響を与える場所を調べる必要があります。そうすることで、独自のリスクに最適に対処することができます。

私たちは、製造メーカや産業界の事業者が実施すべき重要な緩和策を、白書「Protecting People, the Environment and Critical Infrastructure against Industrial Security Threats (セキュリティによる安全: 産業セキュリティの脅威から人、環境、重要インフラを守る)」にまとめました。

デジタルトランスフォーメーションのコンセプトは、お客様のオペレーションのほぼすべての側面を測定し、改善するための生産インテリジェンスをもたらすものです。また、瞬時の情報共有と組織間のシームレスなコラボレーションを実現しています。

このように、接続点が増えることは、セキュリティ上の脅威の入り口が増えることになります。これらの脅威が、従業員、インフラ、そして事業を取り巻く環境の安全にどのような影響を及ぼすかを考慮し、対処する必要があります。IIoTは、チャンスとリスク、そして安全セキュリティプログラムを総合的に統合し、オペレーションを最適化する能力をもたらします。