想定読者:中堅製造業(年商20〜500億円、国内2〜3工場規模)のCISO・情報セキュリティ統括責任者
中堅製造業のCISO(または兼任の情報システム部長)にとって、2024〜2025年の業界横断的なランサムウェア・サプライチェーン攻撃の頻発を受け、OT(操業技術)領域のセキュリティ予算配分は最優先テーマになっている。一方で経営層からは「いくら投資すれば安全か」「何にどう使うか」を端的に示すことが求められる。本稿ではCISO目線で、OTセキュリティの年次予算配分と優先順位を整理する。
CISOが直面するOT領域の構造課題
ITセキュリティと比較した、中堅製造業OT領域の特殊性を整理する。
| 観点 | IT領域 | OT領域 |
|---|---|---|
| 機器ライフサイクル | 3〜5年 | 10〜20年 |
| OS/ファームウェア | 比較的新しい | Windows XP/7/古いPLC残存 |
| 停止許容時間 | 数分〜数時間 | 数分でも生産損失大 |
| パッチ適用 | 月次/随時 | 年1回/停止可能日のみ |
| 通信プロトコル | HTTPS/TCP/IP標準 | OPC、Modbus、独自プロトコル混在 |
| 責任部門 | 情報システム | 製造/生産技術/設備管理 |
| セキュリティ意識 | 比較的高 | 「設備は外と繋がっていない」幻想残存 |
OTセキュリティ年次予算 配分の標準モデル
中堅製造業(年商50〜200億円)の年次OTセキュリティ予算3,000万〜2億円の配分例を示す。
| 配分領域 | 比率 | 年間金額(5,000万円ケース) | 主な施策 |
|---|---|---|---|
| ネットワーク分離・可視化 | 25% | 1,250万円 | OT/IT境界ファイアウォール、ネットワーク可視化(Claroty、Nozomi、Dragos 等) |
| エンドポイント保護 | 20% | 1,000万円 | OT機器インベントリ、ホワイトリスト型/NDR |
| 認証・特権管理 | 15% | 750万円 | 特権アクセス管理(CyberArk、Delinea 等)、MFA |
| 脆弱性管理・パッチ | 10% | 500万円 | 脆弱性スキャン、計画的パッチ運用 |
| インシデント対応・SOC | 15% | 750万円 | 24/365監視、外部SOC契約、CSIRT運用 |
| 教育・訓練 | 5% | 250万円 | OT従業員向けセキュリティ教育、机上演習 |
| 規程・監査 | 10% | 500万円 | OTセキュリティ規程、内部監査、第三者評価 |
Phase 1:ネットワーク分離と可視化(最優先)
OTセキュリティの第一歩は「現状の見える化」だ。多くの中堅製造業で、工場内ネットワークの全容を正確に把握できていない。
着手すべき具体施策
- OTネットワーク可視化ツール導入:パッシブ型監視で機器・通信を全量取得(Claroty、Nozomi、Dragos、TXOne 等)
- 資産インベントリ作成:PLC、HMI、ゲートウェイ、PC、ロボット、CNC、機器ごとのOS/ファームウェアバージョン
- OT/IT境界の明確化:DMZ設計、ファイアウォール設置、リモート保守経路の整理
- VPN・リモート接続の棚卸:ベンダー保守用VPN、社員リモート接続の許可リスト化
このPhase 1で、想定外の通信経路やインターネット直接露出機器が見つかる事例は珍しくない。多くの中堅製造業で実態把握だけで重大リスク発見が3〜10件規模で出る。
Phase 2:認証・特権管理とエンドポイント保護
ネットワーク可視化の次は「侵入後の被害最小化」。
着手すべき具体施策
- 特権アクセス管理(PAM):管理者アカウントの一元管理、セッション録画、多要素認証
- OT用EDR/ホワイトリスト型エンドポイント保護:従来型アンチウイルスでは対応困難な領域に対応
- USB・可搬媒体管理:データ受け渡し用USBの管理、ホワイトリスト化
- ベンダー保守の管理:ベンダー作業を必ず録画/立会い/作業ログ取得
中堅製造業のインシデント事例の多くで、初期侵入経路は「ベンダー保守VPN」「USB持ち込み」「メール添付ファイル」に集中する。Phase 2の打ち手はこの3経路を直接潰す。
Phase 3:インシデント対応体制の構築
侵入を完全に防ぐことは不可能。検知・対応の仕組みを作る。
着手すべき具体施策
- 24/365監視(外部SOC契約):自社運用は中堅規模では現実的でない
- CSIRT機能:社内のインシデント対応窓口・連絡フロー・意思決定権限
- インシデント対応プレイブック:ランサムウェア/DoS/不正アクセス/物理侵入の各シナリオ別対応手順
- 机上演習・訓練:年2回の机上演習、年1回の実地演習
- 保険・法務対応:サイバー保険契約、法務・広報・行政対応の事前準備
机上演習で経営層を巻き込むと、稟議突破にも繋がるため戦略的に活用する価値がある。
CISOが経営層に説明すべき3つの数値
経営層稟議で必ず必要な数値感を整理する。
1. インシデント想定損失
中堅製造業のランサムウェア事例では、生産停止1〜10日/復旧費用1〜10億円規模の事案が報告されている。自社の生産停止1日あたり損失額を試算しておく。
2. 業界水準との比較
経済産業省「サイバーセキュリティ経営ガイドライン」、IPA「制御システムのセキュリティリスク分析ガイド」、自工会/部工会「自動車産業サイバーセキュリティガイドライン」等を引用し、自社の現状と業界水準のギャップを示す。
3. 投資対効果(ROI)
セキュリティ投資のROIは伝統的に説明困難だが、以下の組み合わせで論点化する。
- 想定損失の発生確率 × 損失額 = 期待損失
- 投資による期待損失低減効果
- サプライチェーン要件(取引先からの監査要求)クリアによる売上維持
取引先・サプライチェーン要件への対応
2025〜2026年は、大手取引先(自動車、電機、重工 等)からのサプライヤーセキュリティ要求が急速に厳格化している。
典型的な要求例
- 自工会/部工会「自動車産業サイバーセキュリティガイドライン」準拠
- ISO/IEC 27001/IEC 62443 認証取得
- セキュリティ監査結果の年次報告
- インシデント発生時の即時報告義務
これら要求への対応は、単なる「コンプライアンス」ではなく「取引維持の絶対条件」になりつつある。CISOは年次予算の中で、認証取得・監査対応の枠を必ず確保する必要がある。
経営層稟議を突破するための論点整理
社長・取締役会に対して、CISOが押さえるべき論点。
- 同業他社の事故事例:直近2年の業界内ランサムウェア事案を具体名で列挙
- 想定損失の試算:生産停止1日あたりの損失額×想定停止日数
- 段階予算計画:3年で総額3〜6億円、初年度3,000万〜1億円から段階拡大
- 取引先要求への対応状況:認証取得スケジュール/監査対応状況
- 経営層自身の責務:会社法・刑事責任・善管注意義務の観点
「投資しないリスク」を経営層が直視する場を作ることが、CISOの最大の付加価値だ。
よくある質問
Q. OTセキュリティ専門家を社内に確保するのは現実的か? A. 中堅規模では1〜2名の社内CISO/責任者+外部SOC・コンサル契約が現実的。フル社内化は年商500億円超でも難しい。
Q. 古いPLC(Windows XP稼働等)はどう守るべきか? A. ネットワーク分離(独立セグメント化)と可搬媒体管理が基本。本体更新は設備更新タイミングに合わせる。
Q. クラウド型セキュリティ監視サービス(MDR)はOTにも有効か? A. OT特化のMDRサービス(Claroty MDR、Dragos MDR、TXOne MDR 等)が2025〜2026年に拡充されており、中堅製造業向けの選択肢が広がっている。
「OTセキュリティ年次予算、何にいくら使えば経営層を納得させられるか整理したい」
中堅製造業(年商20〜500億円)のCISO・情報セキュリティ統括責任者を100件以上支援した経験から、貴社の状況に合わせた進め方をご提案します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK