結論:FX5-ENET/IPは「対策版が出ない」前提で、ネットワーク側で守る
2026年6月19日、JPCERT/CCのJVN(JVNVU#97140216)で、三菱電機製MELSEC iQ-FシリーズのEtherNet/IPユニット FX5-EIP と FX5-ENET/IP に、サービス運用妨害(DoS)につながる脆弱性が公表されました。工場の生産技術・工場情シス・OTセキュリティ担当が最初に押さえるべき結論は、次の2点です。
- FX5-EIP(CVE-2026-8805) は、三菱電機が対策版ファームウェア(報道ではVer.1.001以降)を提供しており、更新による解消が見込める。正確なバージョンは三菱電機FAの脆弱性対策情報で確認すること。
- FX5-ENET/IP(CVE-2026-8806) は、三菱電機が 対策版をリリースする予定がない とされており、ネットワーク分離・アクセス制御などの 緩和策が事実上の本対策 になる。
押さえるべき1点:FX5-ENET/IPは「アップデートして終わり」にできない。守りの主役はPLCのパッチではなく、それを取り巻くネットワークとアクセス制御である。
公表された脆弱性の内容と影響範囲は、必ず一次情報(JVNおよび三菱電機FAの脆弱性対策情報)で最新の状態を確認してください。本記事の数値・対応状況は2026年6月25日時点の公開情報に基づきます。
MANUFACTURING DX
Excel限界から受発注システムへ、同規模の概算は?
中小製造業の概算費用・導入期間・役割分担マトリクスをその場で確認。要件整理テンプレも無料提供します。
何が起きる脆弱性なのか(一次情報ベースの整理)
JVNVU#97140216と各CVEの公開情報を、製造現場の言葉に置き換えて整理します。
横にスクロールして確認できます
| 項目 | FX5-EIP | FX5-ENET/IP |
|---|---|---|
| 該当CVE | CVE-2026-8805 | CVE-2026-8806 |
| 影響を受けるバージョン | Ver.1.000 およびそれ以前 | 全バージョン |
| 脆弱性の種類 | 整数オーバーフロー(CWE-190) | 想定された動作との不一致(DoS) |
| 想定される事象 | 短時間に多数のTCP接続が確立されると、内部の接続管理に不整合が生じ不正なメモリアクセスに至る可能性 | 短時間に大量の通信パケットを受信すると処理負荷が増大し、異常検知処理が働かず通信機能が停止する可能性 |
| 対策版 | 提供あり(報道ではVer.1.001以降・正確な版は確認が必要) | リリース予定なし(緩和策を推奨) |
いずれも、結果として起きるのは DoS(通信機能・制御機能の停止) です。情報を盗む種類の脆弱性ではなく、ラインを止めうる種類 の脆弱性だという点が、製造業にとっての重みになります。攻撃に高度な認証突破が必須というより、ネットワーク的に到達できれば過負荷を引き起こせる構造であることが、後述する「ネットワークで守る」結論につながります。
なお、CVEの深刻度スコア(CVSS)や対策版の正確なバージョン番号は提供元で更新されるため、調達・改修判断に使う際は一次情報の最新値を参照してください。
OT特有の制約:なぜ「すぐパッチ」が通用しないのか
ITの感覚では「脆弱性が出たらパッチを当てる」が基本です。しかしFA機器・OT領域では、その前提が崩れます。
横にスクロールして確認できます
| OT特有の制約 | 現場で起きること |
|---|---|
| 対策版が出ないことがある | FX5-ENET/IPのように、ベンダーが修正版を出さない判断をする場合がある |
| 更新に設備停止が要る | ファーム更新のために生産ラインを止める必要があり、止められる日が限られる |
| 検証負荷が高い | 更新が制御挙動に影響しないか、設備・治具込みで検証しないと当てられない |
| 保守契約・保証の縛り | 設備メーカーや装置インテグレータの保証条件で、勝手な更新ができない |
| 機器が長寿命 | 10年以上稼働する設備が多く、サポート期間とのズレが出る |
| 資産が見えていない | どのラインにどのユニットが何台、どのバージョンで載っているか台帳がない |
この結果、「脆弱性は分かっているが、当てられない・当てるのに数か月かかる」 という状態が生まれます。FX5-ENET/IPに至っては、そもそも当てる対策版が存在しません。だからこそ、機器を更新できなくても被害が起きない構成にしておく という発想が必要になります。これがOTセキュリティの中核です。
OT機器の更新可否・資産の棚卸しから入りたい場合は、OT/IoTセキュリティの考え方と進め方を起点に、自社設備の前提条件を整理することをおすすめします。パッチを当てられない機器を放置してラインを止めてしまう構図は、連載セキュリティ失敗図鑑でも繰り返し扱っています。
「パッチ不能機器」を守る緩和策の具体
三菱電機FAが公表する脆弱性情報では、共通して ネットワーク分離とアクセス制御 が推奨されています。FX5-ENET/IPのように対策版がない機器では、これらが本対策になります。代表的な緩和策を、優先度とともに整理します。
横にスクロールして確認できます
| 緩和策 | 具体的な内容 | OTでの効き方 |
|---|---|---|
| LAN内利用・外部遮断 | 信頼できないネットワーク・ホストからのアクセスをファイアウォールで遮断する | インターネットや事務系LANからの到達経路を断つ |
| ネットワーク分離(セグメンテーション) | 制御系ネットワークをIT系・他ラインから分離し、必要な通信だけ許可する | 大量パケットの到達自体を成立させない |
| IPフィルター機能の活用 | 機器側のIPフィルターで、許可したホスト以外からのアクセスを拒否する | 機器側でも到達元を絞る多層防御 |
| 物理アクセス制限 | 同一ネットワーク上の機器・PC・ネットワーク機器への物理的な接触を制限する | 持ち込みPCや不正接続を抑止 |
| VPN利用 | やむを得ず外部接続する場合はVPNで保護する | 遠隔保守などの正当な経路だけ安全に通す |
| 通信の最小化 | 制御系に不要なサービス・ポート・経路を止める | 過負荷を起こす入口を減らす |
ポイントは、これらを「どれか1つ」でなく 多層 で重ねることです。境界のファイアウォール(外部遮断)、内部のセグメンテーション(ライン間遮断)、機器のIPフィルター(到達元制限)を組み合わせることで、1つが破られても次で止まる構造になります。
ただし、現場で実装するときに難しいのは「どの通信を許可してよいか」の見極めです。制御系は通信を絞りすぎると設備が止まり、緩めすぎると守りになりません。現状どの機器がどこと通信しているかを可視化 してから分離設計に入るのが定石で、この棚卸しと設計を体系立てて進めたい場合は脆弱性診断・セキュリティ診断で現状の到達経路と露出を洗い出すところから始めると、無理のない分離計画に落とせます。
工場OTセキュリティ チェックリスト
今回の脆弱性をきっかけに、自社の工場で最低限確認すべき項目をまとめます。生産技術・工場情シスでそのまま使える粒度にしています。
- 資産の特定:FX5-EIP / FX5-ENET/IP が、どのライン・どの装置に、何台、どのバージョンで載っているか台帳化したか
- 影響判定:FX5-EIPは対象バージョン(Ver.1.000以前)か、FX5-ENET/IPは全バージョン対象である前提で棚卸ししたか
- 対策版の確認:FX5-EIPの対策版ファームの提供状況・正確なバージョンを一次情報で確認したか
- 更新計画:対策版を当てられる設備停止のタイミングと、更新後の動作検証手順を決めたか
- 緩和策(対策版がない側):FX5-ENET/IPはネットワーク分離・IPフィルター・物理制限を適用したか
- 境界の確認:制御系がインターネット・事務系LANから直接到達できる状態になっていないか
- 通信の可視化:各機器が実際にどこと通信しているかを把握し、不要な通信を止めたか
- 遠隔保守経路:装置メーカーや保守業者の接続経路(VPN等)が脆弱な穴になっていないか
- 検知と運用:異常な通信・DoS兆候に気づける監視と、止まったときの復旧手順があるか
- 保守契約の確認:設備メーカー・SIerと、更新可否・保証条件・対応分担を確認したか
このチェックリストの大半は「1台のPLCの問題」ではなく 工場ネットワーク全体の設計と運用の問題 に行き着きます。今回の脆弱性は、その点検を始めるトリガーとして使うのが現実的です。
実務判断のポイント
この記事は、経営者、CIO、情シス、セキュリティ担当、開発責任者向けです。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。三菱電機 MELSEC iQ-F(FX5-EIP/FX5-ENET/IP)脆弱性とOT対策|パッチ不能なFA機器を工場で守る方法に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、三菱電機や装置メーカーの公式サポート、ファームウェア提供、設備保証条件の判断、生産停止可否の判断を行う立場ではない。支援できるのは、工場ネットワーク、PLC/FA機器、保守用VPN、リモートアクセス、境界FW、ログ取得状況を棚卸しし、パッチ不能機器を前提にした緩和策を整理することだ。
GXOが支援できる範囲
製造業DX、OTセキュリティ、脆弱性診断、ネットワーク分離、ゼロトラスト設計、セキュリティ顧問を組み合わせ、稼働を止めずにリスクを下げる判断材料を作る。商談としては、工場OT資産棚卸し、外部到達性確認、保守接続レビュー、改善ロードマップに接続する。
実行までの進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問(FAQ)
Q. FX5-EIPは対策版を当てれば終わりですか? A. 更新で当該脆弱性の解消は見込めますが、当てるには設備停止と動作検証が必要です。対策版の正確なバージョンと提供状況は、三菱電機FAの脆弱性対策情報で最新を確認してください。
Q. FX5-ENET/IPは対策版が出ないなら、買い替えしかないですか? A. 即時の買い替えが唯一の解ではありません。ベンダーが推奨するのはネットワーク分離・IPフィルター・物理アクセス制限などの緩和策で、到達経路を断てば実運用上のリスクを大きく下げられます。更新サイクルや設備更新計画と合わせて、中期的に置き換えを検討する形が現実的です。
Q. 自社の工場が実際に攻撃を受けるのでしょうか? A. 本脆弱性はDoS(通信・制御の停止)に関するもので、ネットワーク的に機器へ到達できることが前提になります。制御系がインターネットや事務系LANから直接届く構成ほどリスクが高く、逆にきちんと分離されていれば到達自体が成立しにくくなります。まず「到達できるか」を確認するのが最優先です。
Q. どこから手をつければいいですか? A. 資産の棚卸し(どの機器がどこに何バージョンで何台)と、通信経路の可視化からです。守る対象と到達経路が分からないままでは、分離設計も更新計画も立てられません。
Q. 情報が盗まれる脆弱性ですか? A. 公開情報上、想定される事象は通信・制御機能の停止(DoS)です。とはいえ「ラインが止まる」ことは製造業にとって直接的な損失であり、情報漏えいとは別軸で重大なリスクとして扱うべきです。
この記事を読むべき人
- 自社工場でMELSEC iQ-Fシリーズ(FX5-EIP / FX5-ENET/IP)を使っている生産技術・設備保全の担当者
- IT部門からOT/工場ネットワークのセキュリティも見るよう求められている工場情シス
- 「脆弱性は分かったが、ラインを止められず当てられない」という制約に直面しているOTセキュリティ担当
- スマートファクトリー・製造業DXで設備をネットワークにつなげ始め、攻撃面が広がっている企業
GXOに相談すべきタイミング
- FA機器の脆弱性が公表されたが、自社の設備にどれだけ載っているか・どこが危ないかを棚卸しできていない
- 対策版が出ない機器(FX5-ENET/IPなど)をネットワーク分離でどう守ればよいか、設計に落とせない
- 制御系と情報系のネットワーク分離を、ラインを止めずに段階的に進めたい
- 製造業DXで設備をつなぎ始めたが、つないだことで増えたセキュリティリスクを誰も評価できていない
GXOは、受託でのシステム・AI開発に加え、製造業の現場(OT)を含むセキュリティの現状把握から設計・運用 までを支援します。今回のような脆弱性対応も、単発のパッチ作業で終わらせず、工場ネットワークの分離設計や資産可視化、製造業DXの土台づくりまで含めて整理します。
まずは現状の到達経路と露出を把握したい場合はOT/IoTセキュリティの考え方と進め方と脆弱性診断・セキュリティ診断を、つなぐ前提の製造現場のデジタル化から相談したい場合は製造業DX支援を起点にしてください。継続的に脆弱性公表へ対応できる体制が必要ならセキュリティ顧問・運用支援(セキュリティリテイナー)もあわせてご検討ください。
この記事を読んだ後の進め方
- 自社工場のFA機器・ネットワーク構成を棚卸しし、本記事のチェックリストで穴を洗い出す
- 対策版が当てられない機器の緩和策(分離・IPフィルター・物理制限)の適用状況を確認する
- 自社だけで判断が難しい場合は、GXOに到達経路の可視化と分離設計の相談をする
いつGXOに相談すべきか(まとめ)
「脆弱性は分かったが、設備を止められず当てられない」「対策版が出ない機器をどう守ればいいか分からない」——この状態は、ほとんどの製造業に共通する悩みです。重要なのは、1台のPLCにパッチを当てることではなく、機器を更新できなくても被害が起きない工場ネットワークに作り替える ことです。
工場OTセキュリティのチェックリストは資料としても使えます。実務チェックリストなどの資料をダウンロードから入手できます。
関連記事
関連ページ
参考資料
- JVNVU#97140216「三菱電機製MELSEC iQ-FシリーズのFX5-EIPおよびFX5-ENET/IPにおける脆弱性」 https://jvn.jp/vu/JVNVU97140216/
- 三菱電機FA「Factory Automation製品の脆弱性対応状況」 https://www.mitsubishielectric.co.jp/fa/about-us/security/vulnerability/
- NVD「CVE-2026-8805」 https://nvd.nist.gov/vuln/detail/CVE-2026-8805
- CISA ICS Advisory「Mitsubishi Electric MELSEC iQ-F Series」(CVE-2026-8805/8806関連)
本記事は2026年6月25日時点の公開情報をもとに作成。影響を受ける製品・バージョン、対策版の提供状況・バージョン番号、CVSSスコア、推奨される緩和策は、必ずJVNおよび三菱電機FAの脆弱性対策情報の最新値を確認してください。
パッチを当てられないFA機器を、工場ネットワークの設計で守りませんか
GXOでは、製造OTの資産可視化・到達経路の棚卸し・制御系ネットワークの分離設計を、ラインを止めない進め方で支援します。対策版が出ない機器の緩和策も含めて整理します。
※ 設備一覧やネットワーク構成図がなくても相談可 | 生産技術・工場情シス・保全担当の同席歓迎







