操業・安全に直結するOTセキュリティの難しさ
製造業や社会インフラでは、制御系(OT)と設備資産が事業価値の中核であり、インシデントは情報漏えいだけでなく操業停止や品質事故、安全リスクに直結する。にもかかわらずOTは「パッチを当てれば解決」の世界ではなく、稼働率や保全計画、メーカー依存など現場制約が強い。情シスが成果を出すには、止めずに守る現実解を設計し、現場と同じ言語で合意形成できる人材が要となる。
情シスが押さえるべき実務ロールの全体像
OTセキュリティ担当はSOCや診断に加え、設備・ネットワーク・運用の交点で調整する役割を担う。まず資産台帳や通信の把握により、重要工程と影響度を見積もることが出発点だ。対策は分離、許可通信、監視強化、代替運用などを組み合わせ、停止できない資産には代替統制で落とし込む。加えて、封じ込めから安全確認を含む復旧まで手順化し、机上演習と現場訓練で実効性を担保する。
キャリアは「IT/OTの橋渡し」で伸ばす
IT出身者は認証やログ、脆弱性管理の強みを活かしつつ、セル/エリア構成や保全・停止リスクなどOT前提を学び、現場の意思決定プロセスを経験することが近道である。設備・制御出身者はプロセス理解を土台に、権限設計、ログ分析、リモート保守のセキュア化、サプライチェーンリスクといったIT的視点を加えると価値が上がる。初期は可視化と想定、次に対策設計と規程・訓練、中堅以降は投資対効果や調達要件化、全社標準化へと役割を広げる。
担当者任せを防ぐ組織設計と着手順
OTとITの分断は責任の空白を生みやすく、境界管理、認証基盤、ログ保管、リモートアクセスなどテーマ別に責任分担(RACI)を定義し、会議体で決め切る必要がある。標準化は理想論ではなく、重要工程から段階適用し、パッチ困難な資産には分離や監視など守れる最小セットを用意する。ベンダー保守経路は多要素認証、都度承認、作業ログ、ジャンプサーバ、時間制限を契約と技術の両輪で管理し、調達段階で要件化する。まずは資産・通信・リモート経路の棚卸し、重点ラインからの適用、判断基準を揃える定例演習から始めたい。