対談現場主体のOTセキュリティ課題と実践のヒント

　ITの課題と見なされていたサイバーセキュリティが、いまや工場や社会インフラを支えるOT（Operational Technology）でも避けて通れないテーマとなっている。昨今は制御系システムのネットワーク化が進み、インターネットを介した連携も増えている。その結果、高度化するサイバー攻撃が現実の生産活動に深刻な影響を及ぼす事例が国内外で相次いでおり、その重要性が広く認識されつつある。

　例えば、ZDNET Japanで「OT」をキーワードに過去記事を検索してみると、実にアクセス上位の記事15本のうち11本が「OTセキュリティ」をテーマにしていた。OTについて情報を収集する読者の多くが、セキュリティについても強い関心を示しているという証左だ。

　しかし、そうした関心が企業全体とりわけ制御現場にまで浸透しているかどうかは疑問が残る。多くの場合、製造・運用を担うOT部門と、ITインフラを担うIT部門との間には依然として高い文化の壁が存在しているためだ。

　フォーティネットの佐々木弘志氏は、「OTセキュリティは大企業を中心に盛り上がりつつあるものの、中小企業では『人・モノ・カネ』が足りず、やりたくても進められない現実があります」と述べ、両者のギャップを埋めて協働するための方策が重要だと指摘する。

　同氏は、2025年9月4～5日に開催される「Fortinet Secure OT Summit 2025」において、朝日インタラクティブ 統括編集長の國谷武史氏との対談セッションに登壇し、OTセキュリティにまつわる課題や取り組みのヒントを語る予定である。

　その対談セッションの一部を紹介しながら、OTセキュリティが「現場の自分ごと」として根付くための視点を探っていこう。

　フォーティネットの佐々木氏は、制御システム開発者として14年の実務経験を持ち、その後、産業サイバーセキュリティの分野でビジネス開発や政策連携に携わってきた。

　経済産業省の情報セキュリティ対策専門官、IPA 産業サイバーセキュリティセンターの専門委員、フォーティネットジャパン OTビジネス開発部の部長を務め、また名古屋工業大学の客員准教授として産業サイバーセキュリティの論文を発表している。こうして産学官を横断した立場から、OTセキュリティの啓発と実装を推進してきた。

　“産業サイバーセキュリティの文化を創る”ことをミッションに掲げる佐々木氏は、「現場に根ざした実効性ある対策こそが日本の製造業全体の底上げにつながる」と強調し、対談でも実務に即したOTセキュリティのポイントを紹介する予定だ。

　一方、聞き手を務める朝日インタラクティブ 統括編集長の國谷武史氏は、ZDNET Japanの編集記者／編集長を歴任してきた。15年以上にわたってサイバーセキュリティの取材に携わり、OTセキュリティについても10年以上、取材・執筆を行っており、セキュリティベンダーの動向についても詳しい。数々の専門記事を世に送り出してきた同氏は、業界の潮流と現場の実態に精通する視点から、佐々木氏に鋭くかつ実務的な問いを投げかけていく。

　上述したように、ITとOTとの温度差を小さくしなければ、OTセキュリティの取り組みは進まない。OTセキュリティは、「現場の当事者意識の高まりが欠かせない」「現場の人材が主役となる取り組みが欠かせない」というのが佐々木氏の主張だ。そこでフォーティネットでは、現場の担当者自身がセキュリティを“自分ごと”として捉え、行動できる体制づくりを支援している。

　例えばリコーでは、フォーティネットの支援を受けながら工場の関係者を巻き込んだワーキンググループを立ち上げて、対話と実践を繰り返し行っているという。セキュリティを語るうえでIT部門だけでなく、生産技術や品質管理、現場オペレーターなど多様な立場が関わることで、初めて“使える対策”が見えてくる。現場を熟知する人々がリスクを見極め、現実的な対処法を共に考える仕組みをつくることが、最も有効なOTセキュリティ対策につながるというわけだ。

　ぜひ対談セッションを視聴し、注目すべき事例の詳細、“現場主導型セキュリティ”へのアプローチについて学んでほしい。

　現場主導のセキュリティ対策を実現するには、関係者が主体的に考え、判断し、動くための仕組みや体制を整える必要がある。しかし、とりわけ中小企業においては、セキュリティ対策の専門知識、設計・運用のノウハウを有した人材を確保することは難しい。IT部門の不在、限られた予算、工場稼働の優先 ―― 企業として対策の必要性は認識しながらも、こうした多くの制約が着手を阻んできた。

　そこでフォーティネットは、新たに「登録セキスペ（情報処理安全確保支援士）」との連携による現場支援の取り組みを開始している。セキスペは、国家資格を有する識者で、兼業・副業をしたとしても守秘義務が課せられているため、安心して任せることができる。この取り組みは、セキスペの高度な知見を活用しながら、対策を必要とする企業にスポット的な支援を提供する新たなスキームというわけだ。対策レベルを自社に最適化でき、コスト面でもメリットが大きい。

　佐々木氏によれば、フォーティネットが主導する実証では、ある地方企業で一定の成果を上げつつあるという。同氏によれば、本実証のポイントは企業内に考える力と仕組みを根づかせる点にあるという。セキスペという専門性を持つ外部人材の関与により、限られたリソースの中で自社に即した実効性ある取り組みをスタートできる。このモデルの有効性と展望についても、本対談で語られる予定である。

　こうした各社の取り組みにおいて共通しているのは、OTセキュリティを一過性の対策に終わらせない、“文化”として組織に根付かせる視点が欠かせない。佐々木氏は、「恐怖を煽るだけでは持続しません。自分たちのビジネスを守るために、何が必要かを考えられる文化こそが重要です」と語っている。

　事実、OTセキュリティの成熟には、単なる技術対策だけでなく、継続的な教育・訓練、業務フローへの組み込み、経営層の理解など、多層的な取り組みが求められる。現場の人々が、セキュリティを他人事ではなく自分の業務と結びつけて考えることが重要であり、それを定着させる仕組みづくりが欠かせない。

　セキュリティを“文化”にするという視点は、コンサルタントなど他人に任せるのではなく、自分たちで維持・発展させていく覚悟を持つという意味もある。佐々木氏は、支援の結果として「皆さんが自ら動けるようになったことがうれしい」とも語っており、理想を実践するうえでの考え方や実例を紹介してくれる。

　ここまで紹介してきたように、OTセキュリティの実践には、単なる技術導入にとどまらない多面的な取り組みと、現場の理解と主体性が不可欠である。本対談では、こうした課題に向き合ってきたフォーティネットの実践と知見が、具体的な事例や対話を通じて明らかにされていく。

　「Fortinet Secure OT Summit 2025」で配信される本対談セッション『セキュリティ記者が聞く、OTセキュリティ界隈のギモン』を、ぜひご視聴いただきたい。ITとOTの組織的・技術的な“壁”をどう乗り越え、セキュリティを日常の業務にどう根づかせていくか。そのヒントを得たいすべての企業担当者にとって大いに参考となるはずだ。