プラント業界に迫る新たな課題、OT(機電系・工場領域)のサイバーセキュリティとは?

世界でDX化による業務効率化が加速する昨今、プラントも例外ではなくDX化・IoT化が加速しつつあります。

このような時代背景に比例して急増しているのが、サイバー犯罪です。プラント制御の乗っ取りや誤動作、ウィルス問題など、プラント安定稼働の脅威となりつつあります。

ここでは、プラントにおけるサイバーセキュリティ対策について、プラントやそれを脅かすサイバー犯罪の現状なども踏まえご説明します。

プラント業界

プラント業界とは

サイバーセキュリティについて説明する前にまずは「プラント業界」とはどのような業界なのでしょうか。

プラントとは端的に言えば生産設備・生産工場を指します。一声に生産工場といってもいろいろなものがあります。

自動車や家電、部品から、化学薬品、電気、石油精製所などすべての生産工場や設備をすべて「プラント」と呼びます。よく石油プラントという言い方耳にすると思いますが、石油を精製する工場という意味であり、生産工場を指す言葉と言えます。

かねてから日本の製造業はその精度や品質の良さから世界から注目されていました。

それは人の技術もさることながら、製造するプラント設備の良さから来るものでもありました。そのため、製品と一緒にプラント設備やノウハウも盛んに輸出されてきました。

日本のプラント・エンジニアリング産業も注目されています。プラント・エンジニアとは、プラント設計から保全まで総合的に行う産業で、分野は主に下記の4つに分けられます。

機械系

プラントの設計からオペレーション、メンテナンス業務、プラント内に設置する機械装置の設計から製作などに携わる

化学系

原料から製品化までのプロセスを構築

電気系

プラント内の電力供給を統括する制御システムを作る

土木系

プラントだけでなく、港湾施設や道路などのプラント周辺の環境についての設計と施行管理

精度・品質の高い製品を生み出すプラントを設計、導入する技術は製品と同じく海外に輸出されています。時にはODAなどを通じて発展途上国へのプラント建設なども行われており、結果、その国の発展に大きく貢献するようなこともあります。

プラント業界とゼネコンの関係性

プラント業界構造

https://energy-kanrishi.com/plant/

プラント業界と聞くと、プラント自体を「建設する」企業をイメージするかもしれません。

しかし、それらに部品や機器を提供するメーカー、商社、それらを組み付ける工事業者などを含めてプラント業界と言うこともあります。決定的に違うのはゼネコンが「ビルや商業施設」をメインにしている一方で、プラントは「生産設備」をメインに建設していることでしょう。

プラント業界企業

それでは次に、プラント業界をリードする大手3社についてご紹介します。

日揮株式会社

日揮

https://www.jgc.com/jp/about/

日揮株式会社はプラント業界の最大手で、創業年数、業績、利益のあらゆる面において圧倒的の第一位の立ち位置についています。

オイルやガスなどのプラント事業、インフラ系プラント事業を主に展開しており、事業投資・ビッグデータソリューションなどの事業も展開しています。関連サービスの範囲が非常に幅広いのも特徴のグローバル企業です。

日揮が関わるイラクでのODAの事業について見てみると、日揮がどれほどグローバル企業であるかが分かります。2020年10月、日揮はイラクで開催された「バスラ製油所近代化プロジェクト」の契約調印式に参加しました。このプロジェクトは、既存のバスラ製油所の隣接地に新しい装置を設置することです。

イラクは世界有数の産油国ですが、1970年代に建設された2つの製油所が戦災や老朽化で生産能力が低下していました。国内需要を賄うことができなくなったイラクは、石油製品の輸入を余儀なくされており、ODAから資金援助されることが決まりました。これは、日本による最大規模の復興支援となると言われています。

このプロジェクトを実施するために、日揮は、1,000人以上のイラク人を対象に技能研修をし、約7,000人のイラク人技能労働者を雇用します。

プロジェクトの完成後には約2,000人以上の操業要員の雇用創出が実現すると見込まれており、イラクの失業問題の解決に貢献するとイラク現地では期待が高まっています。

日揮グローバル

https://www.arabnews.jp/article/business/article_23833/

千代田化工建設株式会社

千代田化工建設株式会社は、業界第2位のプラント企業です。エネルギー関連、医療分野と幅広いジャンルのプラントを設建設しています。

東洋エンジニアリング株式会社

日揮、千代田化工建設株式会社とともに「プラント業界の御三家」と呼ばれ、国内外を問わず、幅広いジャンルのプラント建設・メンテナンスを行っています。

プラント・エンジニアリングへの発注方式「EPC」とは

EPC

https://www.jgc.com/saiyo/business/epc.html

EPCとは、Engineering, Procurement, Construction の略称で、設計(Engineering)、調達(Procurement)、建設(Construction)を含む、プラント建設にかかわる全行程を一括して請け負うスタイルのことを指します。日本ではこのEPC型が一般的であり、大手ゼネコンが一括して請けおい、建物から設備まですべての構築を行うことになります。

日本では、日揮株式会社や千代田化工建設株式会社などがプラント・エンジニアリング業界では有名で、国内外の多くの大型プラント建設に携わっています。

プラント業界の課題

プラント・エンジニアリング産業にも課題はあります。1つは人員・人材不足です。

高い精度・品質を維持できる工場の建設には多くの人員と高い技術を持った人材が必要となります。しかしながら昨今の需要増加により不足気味になっているのです。最近では、日本のゼネコンが請け負った海外のプラント建設で、人員・人材不足が原因で大幅な工期遅れが問題となりました。

対象の企業には多額の違約金や追加費用の負担がのしかかり、結果経営危機に陥る原因となってしまっています。

2018年度「エンジニアリング産業の実態と動向」によれば、2019〜2021年度の中期予想でも7.8%の受注増加が見込まれており、さらなる人員・人材不足は避けられないと言えます。

そしてもう一つが昨今のサイバー犯罪の増加です。プラント内でも最近ではDX化、IoT化が進められており、生産・制御設備のネットワーク接続が進んでいます。Industrial 4.0など海外におけるプラントへのDX化推進が加速する中、日本でもその対応が急がれます。

さらにこれに伴い増加し続けているのがサイバー犯罪の増加です。この点については次章で詳しく説明します。

プラント産業の新たな脅威 ― OTサイバー犯罪

プラントエンジニアリング

https://eset-info.canon-its.jp/malware_info/trend/detail/141023_2.html

Industrial 4.0を代表するプラントのIoT化、DX化が進む中、工場を標的とするサイバー犯罪も増加の一途をたどっています。サイバー犯罪がプラントに及ぼす影響にはどのようなものがあるのでしょうか。その対策方法について見てみましょう。

サイバー犯罪とは?

サイバー犯罪とは、インターネットを活用しPCやサーバなどを破壊する、企業の重要情報を搾取、漏洩させるような犯罪の事を指します。

かつては、ハッカーが自身の技術を誇示するために利用しているケースが見られましたが、最近では機密情報を搾取し、PC制御を奪ってお金を要求するなどの悪質な事例が増えています。

日本でも、某ゲーム会社のサーバ制御がウィルスにより奪われ身代金が要求する事件が発生したことが記憶に新しいかと思います。サイバー犯罪は企業活動そのものを奪い、業務に大きく影響を及ぼすことから、最近では大きな社会問題になっています。

プラントのIT化・DX化に伴い増加するサイバー犯罪

サイバー犯罪は、OA業務同様、プラント内でも同じ問題が発生しています。DX化・IoT化の推進に伴い、生産設備や制御盤などをネットワーク接続したことで、PC同様、外部からのウィルスや不正アクセスの脅威にさらされるようになったためです。

プラントで発生したサイバー犯罪事例

プラントで発生したサイバー犯罪事例で有名なのが、ウィルス「WannaCry」です。2020年6月に国内自動車メーカーの業務PCがこのWannaCryに感染し、国内外の多くの工場に広がりました。

ウィルスは社内のPCだけでなく、生産管理の仕組みにも蔓延し、その結果長時間のライン停止に陥る事態となりました。海外におけるプラントのサイバー攻撃を見てみると、2010年にはイランで核施設において、設備制御を奪われ、核爆発の危機に陥るケースもありました。これら事件は工場設備のサイバー対策の必要性が高まるきっかけとなりました。

プラント向けサイバーセキュリティ対策の方法について

それではプラント向けのサイバーセキュリティ対策はどのような点に気を付ければよいのでしょうか。

通常の PCに対するサイバー攻撃とは2つの大きく異なる点があります。

安全と継続稼働が優先される

1つ目は、何より安全と継続稼働が優先される点です。それゆえに、仮に設備のコントローラがウィルスに汚染された場合でも、PCのようにシャットダウンする、といった対策が簡単にはできません。コントローラを停止することは安全や継続稼働が脅かされる可能性があるためです。

標準化や常に最新を保つ対策が行えない

そして2つ目は、PCと違い標準化や常に最新を保つという対策が行えない点です。設備に付属するコントローラ内ではWindows OSやLinuxベースOSを利用しているケースが増えてきていますが、その中には一昔前のすでにサポートが終了しているOSを利用しているケースもあります。設備に組み込まれたOSはある意味独自の仕様になっており、簡単に更新などはできないケースも多く、脆弱性対策を難しくしています。

どちらもプラント設備独自の課題であり、OAとは同じ対策が出来ないのです。

解決策:「可視化」と「限定化」

それではどうしたらよいか?答えは「可視化」と「限定化」です。設備が通信する相手はPCとは違いある程度限定されます。例えばデータ収集するDXプラットフォームやメンテナンスPCなどそれほど多くないはずです。そこで通信出来る相手を「限定」してしまい、ウィルスやアタックなどを受ける可能性を限定します。

そして限定した通信の「可視化」を図ることで、セキュリティインシデントを即時発見、遮断できる体制を作れます。

最近では、通信を限定し、多くのセキュリティインシデントを監視、防御するUTM装置などがありますので、これらを使って通信の「可視化」「限定化」する方法が良いでしょう。

UTM

https://www.kagoya.jp/howto/rentalserver/utm/

UTM装置の多くは、世界でも有名なセキュリティメーカー、ベンダーが提供しており、日々高度化するサイバー犯罪に対する対策をUTM上で実現しています。これにより利用者が意識することなく最新の対策方法で継続したセキュリティ対策ができるわけです。

UTM装置は Cisco、Palo Alto Networks、Fortinetなど多くのメーカーから提供されています。また法人向けのインターネットサービスを提供するASPの一部では、UTMを組み込んだサービスを提供しているケースもあり、このサービスを利用するのもよいでしょう。

まとめ

昨今のDX化に伴い、プラントについてもDX化やIoT化が検討されるようになってきました。ただしそれと並行して、プラントを狙ったサイバー犯罪についても増加の一途をたどっています。いざ被害にあえば大幅な業務停止だけでなく、お客様の信頼すら失墜するなど企業としてのダメージは計り知れないほど大きいと思います。

今後サイバー攻撃は増加するだけでなく、ますます巧妙化すると言われています。「もっと早く対策しておけばよかった」と後悔することのないように、しっかり対策を行っていきましょう。

<参考>
https://www.sankei.com/affairs/news/180125/afr1801250049-n1.html

https://jpn.nec.com/embedded/domain/machinery/03_security.html

https://jpn.nec.com/embedded/domain/machinery/03_security.html

https://jpn.nec.com/embedded/domain/machinery/03_security.html

https://monoist.atmarkit.co.jp/mn/articles/2007/06/news008.html

https://www.paloaltonetworks.jp/company/in-the-news/2017/cyber-security-information-sharing-power-energy-field

https://www.m-protechs.com/business/international.html

https://jpn.nec.com/embedded/domain/machinery/03_security.html

https://www.manegy.com/news/detail/2645

https://www.arabnews.jp/article/business/article_23833/

関連する事例

海外進出および展開はどのように取り組めば良い?
とお悩みの担当者様へ

海外進出および展開を検討する際に、
①どんな情報からまず集めればよいか分からない。
②どんな観点で進出検討国の現場を見ればよいか分からない。
③海外進出後の決定を分ける、「細かな要素」は何かを知りたい。

このような悩みをお持ちの方々に、プロジェクト時には必ず現地視察を行う、弊社PROVE社員が現地訪問した際に、どんな観点で海外現地を視察しているのかをお伝えさせていただきます。