この記事は、工場DXやAI品質検査・予知保全の導入を検討している製造業の情報システム担当者・工場管理部門が、AIを入れる前に「OT(制御・運用技術)側の資産管理は大丈夫か」を確認するための手順を提供します。
CISAのICSアドバイザリは何を示しているか
CISA(米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁)は毎週、制御システム製品の脆弱性情報をICSアドバイザリとして公開しています。2010年3月から2026年1月末までの累計で3,637件・12,174のCVE(共通脆弱性識別子)が記録されており、対象ベンダーは689社、製品数は2,783にのぼります(Forescout調査、報道ベース)。
2026年に入ってもシーメンス、ロックウェル・オートメーション、三菱電機・ICONICSのHMIやSCADA製品が対象となったアドバイザリが継続発行されています。直近では2026年4月に公開された ICSA-26-111-11(Siemens Industrial Edge Management)で、認証されていない遠隔の攻撃者が認証を回避し、接続された産業エッジ機器に到達できる脆弱性(CVE-2026-33892、CVSS v3基本値7.1)が報告されました。
IPAはCISAが公開した制御システム脆弱性情報を日本語で翻訳・掲載し、毎月更新しています(https://www.ipa.go.jp/security/controlsystem/icsadvisories.html)。さらに2026年4月には「制御システムのセキュリティリスク分析ガイド 第2版」を改訂し、リスクアセスメントの実施方法を更新しました(https://www.ipa.go.jp/security/controlsystem/riskanalysis.html)。
これらのアドバイザリが意味するのは、「工場で使っている制御機器が、今この瞬間にも新しい脆弱性の対象になり得る」という事実です。ここにAIやIoTシステムを接続する前に、資産の把握と保護の確認が不可欠です。
MANUFACTURING DX
Excel限界から受発注システムへ、同規模の概算は?
中小製造業の概算費用・導入期間・役割分担マトリクスをその場で確認。要件整理テンプレも無料提供します。
なぜAI導入前にOT資産管理が必要か
製造業のAI導入では、品質検査画像・設備稼働ログ・センサーデータなどをAIに読み込ませるため、PLCやSCADAなどのOT機器をネットワーク経由でデータ収集システムと接続します。この接続が、従来はIT側から隔離されていたOTネットワークへの新たな経路を作ります。
IPA「情報セキュリティ10大脅威 2026」では組織向け脅威の1位が「ランサムウェア攻撃」、2位が「サプライチェーン・委託先を狙った攻撃」でした。製造業では制御システムへのランサムウェア感染が生産停止に直結するため、OT側のリスクを先に把握することが優先されます。
AI導入前のOT資産棚卸し手順
ステップ1:OT機器の洗い出しと記録(2〜4週間)
工場内のすべての制御機器を一覧化します。対象は以下の分類で整理します。
横にスクロールして確認できます
| 機器分類 | 対象の例 | 確認する情報 |
|---|---|---|
| 制御系 | PLC、DCS、SCADA | メーカー・型番・ファームウェアバージョン・導入年 |
| HMI | タッチパネル、操作端末 | OS・バージョン・ネットワーク接続有無 |
| ネットワーク機器 | OT向けスイッチ、ルーター | 構成・セグメント分離の有無 |
| センサー・IoT | 温度センサー、カメラ | 接続先・通信プロトコル・認証方式 |
| 保守端末 | ベンダー持込の設定PC | 接続経路・利用頻度・管理者 |
この一覧が、CISAアドバイザリと突合するための基礎台帳になります。アドバイザリが出たとき、「自社に該当機器があるか」を即座に判断できる状態にします。
ステップ2:IT/OTネットワーク分離の確認(1〜2週間)
AIシステムがOT機器のデータにアクセスするとき、どの経路を通るかを図式化します。確認する項目は以下です。
- OTネットワークとITネットワークの間にファイアウォールまたはDMZがあるか
- OT側から直接インターネットへの通信が発生していないか
- データ収集用の接続は一方向通信(データダイオード)か双方向通信か
- 保守ベンダーのリモートアクセス経路が使用後に必ず閉じられているか
ステップ3:保守契約とパッチ適用方針の確認(1〜2週間)
CISAアドバイザリに対応するパッチが提供されても、OT機器は生産ラインを止めてアップデートする機会が限られます。
横にスクロールして確認できます
| 確認項目 | 現状確認すること | なければ整備するもの |
|---|---|---|
| 保守契約 | 主要制御機器にベンダー保守契約があるか | 契約更新か代替品確認 |
| パッチ通知 | CISAやIPAのアドバイザリ情報をいつ誰が確認するか | 情シス担当者のRSS購読・月次確認ルール |
| 適用判断プロセス | パッチ適用の要否を誰が・何を基準に判断するか | パッチ評価フローの文書化 |
| 代替緩和策 | パッチ適用できない期間のリスク低減策(ネットワーク隔離等) | セグメント強化・アクセス制限 |
OT接続前のAI導入リスク評価
工場AIシステムを導入する前に、OT側の観点で以下のリスクを評価します。
横にスクロールして確認できます
| リスク項目 | 確認内容 | 高リスクの判断基準 |
|---|---|---|
| 脆弱な接続経路 | AIサーバーがOT機器に直接接続する経路があるか | IT/OTの境界なしで接続 |
| 認証の欠如 | OTデータを収集するシステムに認証がないか | 認証なしのデータ収集 |
| ログの欠如 | OT機器への接続・操作ログが残っているか | ログなし・定期確認なし |
| 保守ベンダーのアクセス管理 | ベンダーリモートアクセスの記録と停止手順があるか | 常時接続または停止手順なし |
| 停止条件の未定義 | AIシステムの異常時にOT機器を安全停止する手順があるか | 手順書なし・訓練なし |
OTセキュリティ・工場DX前の資産管理診断では、上記の項目をもとに自社の現状を確認できます。
製造業のAI導入で起きる典型的なOTセキュリティ事故パターン
パターン1:保守接続経路が常設化している
ベンダーがリモートメンテナンスのために開けた接続経路を、作業後に閉じないまま放置するケースです。攻撃者がこの経路を経由してOT機器に侵入します。AIシステムを接続する前に、常設のリモートアクセスがないかを確認します。
パターン2:IT側の感染がOT側に波及する
AIサーバーやデータ収集PCがランサムウェアに感染し、OTネットワークへの接続経路を通じて制御システムに波及するパターンです。IT/OTのネットワーク分離が不完全な環境で発生します。
パターン3:AIシステムのアップデートがOT機器に影響する
AIの学習環境やデータ収集システムのソフトウェアアップデートが、OT機器側の動作に予期しない影響を与えるパターンです。本番稼働前のステージング環境での検証と、変更管理フローが必要です。
GXOはどう支援するか
GXOでは、製造業のAI・DX導入前にOT資産の現状確認と保護方針の整理を支援します。初回相談では、工場で稼働している主要制御機器の種別・保守契約の状況・IT/OT接続の構成を確認し、CISAアドバイザリへの対応状況と不足箇所を洗い出します。AIシステムとOT機器の接続設計、セキュリティ要件の定義、保守ベンダーとの責任分界まで、OT側とIT側を一体で設計します。
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。
実務判断のポイント
この記事を読むべきなのは、経営者、CIO、情シス、セキュリティ担当、開発責任者です。単に情報を把握するだけでなく、脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応の相談に進めるべきかを判断するための材料として整理する必要があります。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。CISA制御システムアドバイザリから読む、製造業AI導入前のOT資産管理に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの実務補足
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、診断、監査、保守契約、月次レポート、緊急対応支援へ接続。さらに、チェックリスト型診断を入口に、継続監視・改善支援へ展開。
相談につながる進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問
Q1. 中小規模の工場でもOTセキュリティは必要ですか
必要です。大手のサプライヤーである場合、取引先からセキュリティ対応を求められることが増えています。また、規模に関わらず制御システムが感染すると生産停止の影響は同じです。
Q2. CISAのアドバイザリは日本語で読めますか
IPAが毎月日本語に翻訳して掲載しています(https://www.ipa.go.jp/security/controlsystem/icsadvisories.html)。自社で使っているメーカー・製品名で検索して確認できます。
Q3. AI導入を先送りしてOT対策を先にするべきですか
すべてを先送りする必要はありません。OT接続が不要なAI(例:設計図面のテキスト検索、メール対応の自動化)から始め、OT接続が必要なAI(品質検査・予知保全)は資産棚卸しと接続設計を並行して進めます。
参考情報
- IPA「CISAが公開した制御システムの脆弱性情報(直近1か月)」:https://www.ipa.go.jp/security/controlsystem/icsadvisories.html
- IPA「制御システムのセキュリティリスク分析ガイド 第2版(2026年4月)」:https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
- CISA「ICS Advisories」:https://www.cisa.gov/news-events/ics-advisories
- IPA「情報セキュリティ10大脅威 2026」:https://www.ipa.go.jp/security/10threats/10threats2026.html
工場AI導入前にOT資産管理の現状を整理しませんか
GXOでは、制御システムの資産棚卸し・IT/OT接続の設計・CISAアドバイザリ対応の仕組みづくりをAI・DX導入計画と並行して支援します。






