このガイドが役立つ方: 年商 50-300 億円・工場 2-3 拠点・従業員 100-1,000 名規模の中堅製造業で、工場 IT 課長 / 製造部長兼務 / 情シス課長を担っとる人。OT(制御系:PLC / SCADA / MES / DCS)と IT(情報系:Office / 基幹システム / メール)の境界に悩む現場担当向け。 本記事の使い方: 「分離が必要な理由」の説明ではなく、30 日で実際に着手する作業手順。投資額目安、工場ダウンタイム最小化、SBOM 対応、補助金活用までセット。
結論を 30 秒で。 OT/IT 分離は 30 日で 「棚卸し → リスク評価 → 分離設計 → 試行運用」の 4 フェーズ で着手可能。工場 1 拠点あたり 初期 200-600 万円 + 月額保守 30-80 万円 が中堅レンジ。停止リスクを最小化するため、工場稼働中に既存ネットワークを温存しつつ、新規セグメントを並行構築 → 段階移行 が現実的。SBOM 対応 + 取引先からのサプライチェーンセキュリティ要求にも本構成で対応可能。
IPA「制御システムセキュリティ 実践ガイド 2024」によると、中堅製造業の OT 機器は 平均稼働年数 12-15 年、 つまり 設計時に IT セキュリティが想定されとらん。これは脆弱性ではなく前提条件。本記事は「現状の前提」から出発する。
なぜ今 OT/IT 分離が必須か(30 秒)
3 つの圧力で「待ったなし」の状況:
- 2024-2026 年に大手製造業の OT 経由インシデントが連発(村田製作所 / アンナビキ / 大阪府の食品工場 etc.)
- 取引先(大手 OEM)からのセキュリティ要件が厳格化 — SBOM / Pマーク / ISO 27001 を発注前審査で要求
- EU CRA(Cyber Resilience Act)2027 年強制化 — 日本の中堅製造業も間接的な影響を受ける
MANUFACTURING DX
Excel限界から受発注システムへ、同規模の概算は?
中小製造業の概算費用・導入期間・役割分担マトリクスをその場で確認。要件整理テンプレも無料提供します。
30 日タイムライン マップ
横にスクロールして確認できます
| 期間 | フェーズ | 主要成果物 | 主担当 |
|---|---|---|---|
| Day 1-7 | 棚卸し | OT/IT 機器一覧 + 接続点マップ + 通信フロー図 | 工場 IT 課長 + 製造部 |
| Day 8-14 | リスク評価 | クリティカル機器特定 + 攻撃経路 5 シナリオ + 優先度 | 工場 IT + セキュリティ顧問 |
| Day 15-21 | 分離設計 | VLAN / FW ルール / 一方向通信 / バックアップ経路 | 外部ベンダー + 工場 IT |
| Day 22-30 | 試行 + 運用ルール文書化 | 段階移行 + 障害時 SOP + 監視運用 | 全員 |
Phase 1:Day 1-7 棚卸し
最初の 1 週間は 「現状を 100% 可視化する」 だけに集中する。これが甘いと後の全フェーズが破綻する。
1.1 OT 機器一覧(必須)
横にスクロールして確認できます
| 項目 | 記録すべき内容 |
|---|---|
| 機器種別 | PLC / HMI / SCADA / DCS / MES / IoT センサー / 産業用 PC |
| メーカー / 型番 / OS | 三菱 MELSEC / Siemens S7 / Rockwell ControlLogix / etc |
| 稼働年数 / EOL | 平均 12-15 年、保守契約有無 |
| ネットワーク接続 | 有線 / 無線 / 専用線 / 一般 LAN |
| 通信プロトコル | Modbus / OPC-UA / Profinet / Ethernet/IP |
| 重要度 | 停止時の生産影響(時間 / 金額) |
所要工数: 1 工場あたり 8-16h。製造部 + 設備保全課の協力必須。
1.2 IT 機器一覧(必須)
横にスクロールして確認できます
| 項目 | 記録すべき内容 |
|---|---|
| 業務 PC / サーバー | OS / IP / 役割 / 部署 |
| 基幹システム | ERP / MES / 受注 / 在庫 |
| ファイルサーバー | NAS / SharePoint / クラウド |
| 工場端末 | 検査機 PC / 工程指示端末 / 現場タブレット |
所要工数: 1 工場あたり 4-8h。
1.3 接続点マップ(最重要)
OT と IT の 「どこが繋がっとるか」 を全件可視化する。これが分離の出発点。
典型的な接続点:
- 工程指示端末(IT)→ MES(OT)
- MES(OT)→ ERP(IT)への実績データ送信
- 設備保全 PC(IT)→ PLC(OT)への保守接続
- 現場タブレット(IT)→ SCADA(OT)への閲覧
- ベンダーリモート保守接続(外部 → OT)
所要工数: 1 工場あたり 8-16h。
1.4 通信フロー図
接続点ごとに「方向 / 頻度 / データ種別」を記録:
[ERP] ←(日次バッチ)― [MES] ←(リアルタイム)― [PLC×8 / DCS×2]
↓
経営陣ダッシュボード(IT)
この図が Phase 2 リスク評価の基礎になる。
1.5 ベンダーリモート接続の棚卸し
中堅製造業で 最大の盲点が外部ベンダーのリモート保守接続。Citrix / Anydesk / TeamViewer / 専用 VPN 等で OT 機器に直結しとる経路。攻撃の入口として狙われやすい。
全件リスト化:誰が / どの機器に / どの経路で / どんな認証で接続しとるか。
Phase 2:Day 8-14 リスク評価
棚卸し結果を元に「何を守るべきか」「どこが攻撃経路になるか」を評価する。
2.1 クリティカル機器の特定
「停止すると 24 時間以内に売上 / 取引先信用 / 安全に重大影響が出る機器」をリスト化。
横にスクロールして確認できます
| 重要度 | 例 | 停止許容時間 |
|---|---|---|
| S(最重要) | 主要生産ラインの PLC / DCS、安全装置 | 0 時間(停止許容しない) |
| A | 工程指示端末、品質検査機 | 4 時間 |
| B | 設備保全 PC、現場タブレット | 24 時間 |
| C | ファイルサーバー、メール | 72 時間 |
2.2 攻撃経路 5 シナリオ
中堅製造業で実際に発生する典型攻撃経路:
- メール経由(フィッシング → IT 端末感染 → 横展開 → OT 到達) — 最頻
- USB メモリ経由(保守作業者の USB → PLC / SCADA 直接感染) — 工場特有
- ベンダーリモート保守経由(外部 → 専用 VPN → OT 直結) — 大手事案で頻出
- IoT センサーの脆弱性(中華製格安センサーのバックドア) — 2024-2026 で増加
- サプライチェーン経由(取引先 / 外注先の侵害から自社へ) — EU CRA 対応の主因
2.3 優先度付け(Phase 3 で対応する順番)
S 重要度 × 攻撃経路 1-3 から優先的に分離する。C 重要度の機器は後回しで OK。
Phase 3:Day 15-21 分離設計
3.1 VLAN セグメント設計
最小構成:
横にスクロールして確認できます
| セグメント | 用途 | 通信ポリシー |
|---|---|---|
| OT-S(最重要 OT) | 主要生産ライン PLC / DCS / 安全装置 | 双方向通信全停止、特定 IT 機器のみ片方向許可 |
| OT-A(重要 OT) | 工程指示 / 品質検査 | 必要最小限の IT 通信のみ |
| OT-B(一般 OT) | 設備保全 / 現場タブレット | IT との通信を限定的に許可 |
| IT-Office | 業務 PC / メール | インターネット接続あり、OT へは遮断 |
| IT-System | 基幹 / ファイル / 認証 | OT-A/B との連携あり |
| DMZ-Vendor | ベンダーリモート保守用 | 申請ベース、踏み台経由のみ |
3.2 ファイアウォール ルール(典型例)
横にスクロールして確認できます
| 通信元 | 通信先 | 許可 | 備考 |
|---|---|---|---|
| OT-S | IT-Office | ❌ | 完全遮断 |
| OT-A → IT-System | 実績データのみ | ✅ | 一方向、特定ポート |
| IT-System → OT-A | 工程指示 | ✅ | 認証付き、ログ記録 |
| DMZ-Vendor → OT-S | 申請承認後のみ | △ | 30 分セッション制限 |
| Internet → OT 全般 | ❌ | 完全遮断 |
3.3 一方向通信(データダイオード)
S 重要度の機器からデータを取り出すだけで、書き込みは一切させない構成。専用 HW 製品は 1 工場あたり 200-500 万円、ソフトウェア型なら 50-100 万円から。
3.4 バックアップ経路
工場停止時の生産情報退避ルートを別途確保。本番分離後でも経営層への報告は止めん設計。
Phase 4:Day 22-30 試行 + 運用ルール文書化
4.1 段階移行プラン
工場稼働中の移行は 「並行運用 → 切替 → 旧経路停止」 の 3 ステップ。
- Day 22-24: 新セグメント並行構築(既存は無傷)
- Day 25-27: 1-2 機器を試行的に新セグメントに移行
- Day 28-30: 問題なければ全機器を順次移行 + 旧経路停止
4.2 運用ルール文書化(必須)
- ベンダーリモート保守の申請 / 承認フロー
- USB メモリ持ち込み禁止 + 例外申請手順
- 障害時のエスカレーション SOP
- 新規機器導入時のセグメント割当てルール
4.3 監視運用
中堅規模では 24/365 の自社運用は不可能。セキュリティ顧問サービスに月額 30-80 万円で委託 が現実解。EDR + ログ監視 + インシデント対応をパッケージで取得する。
投資レンジ(中堅製造業 2-3 工場規模)
横にスクロールして確認できます
| 項目 | 1 工場目安 | 3 工場合計 |
|---|---|---|
| 初期:FW 機器 + VLAN 構築 + 設計 | 200-600 万円 | 500-1,500 万円 |
| 初期:データダイオード(必要な S 機器のみ) | 50-300 万円 | 100-500 万円 |
| 初期:監査 + ペネトレーション | 100-300 万円 | 100-300 万円 |
| 月額:保守 + 監視 | 30-80 万円 | 80-200 万円 |
| 年額(初期 + 月額×12) | 約 700-1,800 万円 | 1,700-4,000 万円 |
補助金活用
- 省力化補助金 / IT 導入補助金 セキュリティ枠: 補助率 1/2-2/3、上限 450-1,000 万円
- ものづくり補助金(製造業特化): 採択後 PMO 委託で実行支援も補助対象
- 小規模事業者持続化補助金: 小規模工場は 4/5 補助の枠も
実質負担は 初期投資の 30-50% 圧縮可能。採択後 PMO は外注すれば情シス 1 名でも回る。
30 日後の検収チェックリスト 7 項目
横にスクロールして確認できます
| # | チェック項目 |
|---|---|
| 1 | OT/IT 機器一覧 + 接続点マップが 100% 整備されとる |
| 2 | クリティカル機器(S 重要度)が IT セグメントから完全分離されとる |
| 3 | ベンダーリモート保守が申請ベース + 30 分セッション制限になっとる |
| 4 | USB メモリ持ち込みルール + 例外承認フローが文書化されとる |
| 5 | 障害時 SOP(連絡網 + エスカレーション)が部門全員に共有されとる |
| 6 | 24/365 監視(自社 or 顧問外注)が稼働しとる |
| 7 | 月次 / 四半期の運用レビュー定例が経営層との間で組まれとる |
まとめ
OT/IT 分離は中堅製造業(年商 50-300 億・2-3 工場)にとって、もはや「やる / やらない」の選択肢ではなく、「いつまでに / どう着手するか」の問題。30 日で着手するなら Day 1-7 棚卸し → Day 8-14 リスク評価 → Day 15-21 分離設計 → Day 22-30 試行運用 の 4 フェーズが現実解。投資は 1 工場 700-1,800 万円 / 年で、補助金活用で実質負担を半減できる。
GXO は 中堅製造業 100+ 社の支援実績 で、本記事の 4 フェーズを工場 IT 課長と一緒に実行する。Phase 1 棚卸しは無料診断(5 分)で始められる。
中堅製造業の OT/IT 分離 30 日、Phase 1 棚卸しから一緒に着手しませんか?
年商 50-300 億・2-3 工場規模の中堅製造業を主対象に、棚卸し → リスク評価 → 分離設計 → 試行運用までを 30 日で伴走します。補助金活用で実質負担を半減する設計も対応可能。
※ 営業電話なし | オンライン対応 | NDA 締結可 | 工場長同席歓迎
追加の一次情報・確認観点
この記事の内容を社内で検討する場合は、一般論だけで判断せず、次の一次情報と自社データを照合してください。特に、稟議・RFP・ベンダー選定では「何を実装するか」よりも「どのリスクをどの水準まで下げるか」を先に決めると、見積もり比較のブレを抑えられます。
横にスクロールして確認できます
| 確認領域 | 参照先 | 自社で確認すること |
|---|---|---|
| DX推進 | 経済産業省 DX | 業務変革、データ活用、人材、投資対効果を確認する |
| IoT・セキュリティ | IPA 情報セキュリティ | 現場端末、ネットワーク分離、権限、ログ取得を確認する |
| 個人情報 | 個人情報保護委員会 | 顧客情報、従業員情報、委託先連携の扱いを確認する |
| DX推進 | IPA デジタル基盤センター | DX推進指標、IT人材、デジタル基盤の観点で現状を確認する |
| 個人情報 | 個人情報保護委員会 | 個人情報・委託先管理・利用目的・安全管理措置を確認する |
稟議・RFPで使う数値設計
投資判断では、導入前後で測れる指標を3から5個に絞ります。下表のように、現状値・目標値・測定方法・責任者をセットにしておくと、PoC後に本番化するかどうかを判断しやすくなります。
横にスクロールして確認できます
| 指標 | 現状確認 | 目標の置き方 | 失敗しやすい例 |
|---|---|---|---|
| 対象業務数 | 現状の対象業務を棚卸し | 初期は1から3業務に限定 | 対象を広げすぎて要件が固まらない |
| 月間処理件数 | 件数、担当者、例外率を確認 | 上位20%の高頻度業務から改善 | 件数が少ない業務を先に自動化する |
| 例外対応率 | 手戻り、確認待ち、属人判断を計測 | 例外の分類と承認ルールを定義 | 例外をAIやシステムだけで吸収しようとする |
| 現場入力率 | 紙、Excel、システム入力を確認 | 現場負荷が増えない導線にする | 管理部門目線だけで設計する |
| データ欠損率 | 必須項目、未入力、表記ゆれを確認 | 入力制御とマスタ整備を実施 | データ品質を後回しにする |
よくある失敗と回避策
横にスクロールして確認できます
| 失敗パターン | 起きる理由 | 回避策 |
|---|---|---|
| 目的が曖昧なままツール選定に入る | 比較軸が価格や機能数に寄る | 経営課題、業務課題、測定KPIを先に固定する |
| 現場確認が不足する | 例外処理や非公式運用が見落とされる | 担当者ヒアリングと実データ確認を必ず行う |
| 運用責任者が決まっていない | 導入後の改善が止まる | 業務側とIT側の責任分界をRACIで定義する |
| 本部主導で現場に使われない | 現場の時間制約と入力負荷を見ていない | 現場代表を設計レビューに入れる |
GXOに相談する前に整理しておく情報
初回相談では、次の情報があると診断と提案の精度が上がります。すべて揃っていなくても問題ありませんが、分かる範囲で用意しておくと、概算費用・期間・体制の見立てを早く出せます。
- 対象業務の現行フロー、利用中システム、Excel・紙・チャット運用の一覧
- 月間件数、担当人数、手戻り件数、確認待ち時間などの概算
- 個人情報、機密情報、外部委託、権限管理に関する制約
- 希望開始時期、予算レンジ、社内承認者、決裁までの流れ
- 現場拠点数、端末環境、ネットワーク制約、入力担当者、繁忙時間帯
GXOでは、現状整理、要件定義、RFP作成、ベンダー比較、PoC設計、本番移行計画まで一気通貫で支援できます。記事の内容を自社に当てはめたい場合は、まずは現在の課題と制約を共有してください。
関連記事
- 村田製作所サイバー攻撃 中堅製造業 30 日チェックリスト
- EU CRA 中堅企業 影響と対応 2026
- OT/ICS セキュリティ実践ガイド 2026 中堅製造業
- 製造業 IT 導入補助金 2026 完全ガイド
- 中堅情シス 1 名体制 DX 100 タスク
- 中堅企業 セキュリティ顧問サービス
実務判断のポイント
この記事は、経営者、DX責任者、情シス、業務責任者向けです。現状棚卸し、業務改善、AI/DXロードマップ、実装優先順位を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。工場 IT 課長の OT/IT 分離 30 日|中堅製造業 2-3 工場規模の現場手順 + 投資レンジ 2026に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの見解
DXは流行ツールの導入ではなく、現場業務、データ、権限、KPI、投資判断をつなぐ実装計画である。
GXOは最初から大規模刷新するより、棚卸し、優先順位付け、小さな実装、効果測定を繰り返すべきだと見る。
GXOは、DX成熟度診断、業務棚卸し、ロードマップ、AI/システム実装まで支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、DX診断、要件定義、システム開発、AI活用支援へ接続。さらに、短期診断から段階実装に進め、継続支援へ展開。
実行までの進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
FAQ
まず何から確認すべきですか?
最初に確認すべきなのは、対象業務、対象データ、責任者、判断期限です。情報収集だけで終えると、導入可否や対応優先順位を決められません。
社内だけで進めるべきですか?
既存業務の棚卸しは社内で進められます。ただし、要件定義、セキュリティ、費用対効果、ベンダー比較が絡む場合は、外部視点を入れた方が手戻りを抑えやすくなります。
GXOにはどの段階で相談できますか?
構想段階、予算化前、RFP作成前、既存システムの見直し段階から相談できます。現状棚卸し、業務改善、AI/DXロードマップ、実装優先順位の相談を入口に、実装や運用改善まで整理できます。
参考情報
- 制度、価格、仕様、脆弱性、法務、セキュリティに関する判断は、公開時点の公式情報と一次情報を確認したうえで更新してください。







