GXO
ゼロトラスト

OT/ICSセキュリティ実務ガイド2026|製造業が直面する工場ネットワーク防御の現実解

15分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

セキュリティ

工場の制御システム(OT: Operational Technology / ICS: Industrial Control Systems)を狙う攻撃が2025〜2026年に急増している。背景は3つ。ランサムウェアが IT系から OT系に侵入を広げ始めたこと、サプライチェーン経由の侵害が増えたこと、古いプロトコル(Modbus/OPC-UA等)の設定不備が露呈したことだ。

中堅製造業の情シス・製造技術部門にとって、「従来のIT系セキュリティの延長では守れない」現実が突きつけられている。本記事では、Purdueモデルを基準にした現場運用可能な実務ガイドと、IT-OT 連携セキュリティの段階導入を整理する。

この記事は、従業員 100〜1,000名規模の製造業で、OT/ICS を持つ工場長・情シス・製造技術部門だ。


目次

  1. なぜ OT/ICS が急速に狙われているのか
  2. Purdue エンタープライズ参照モデルの再確認
  3. 最初にやるべき3つの実務対応
  4. IT-OT 境界で効くセキュリティ機能
  5. プロトコル別の典型的な落とし穴
  6. 運用体制の組み立て方
  7. FAQ

なぜ OT/ICS が急速に狙われているのか

3つの構造変化:

  1. IT/OT ネットワーク融合:生産管理 SaaS・クラウドHMIなどで IT側から OT 側への経路が増加
  2. リモートメンテナンス需要:設備ベンダーからの遠隔メンテ接続が常態化し、攻撃経路として悪用されやすい
  3. エアギャップ神話の崩壊:「閉域だから大丈夫」と言われた工場が、USB持ち込み・VPN経由で侵害される事例が多発

OT 攻撃の特殊性:

  • 被害が物理損害に直結:生産停止・設備破損・人身事故
  • パッチ適用のタイミングが限定的:設備停止の計画的シャットダウンでしかパッチが打てない
  • 機器のEOL問題:20〜30年稼働する設備は現行OSに対応しないケースが多い

セクションまとめ: OT/ICS は「攻撃面が広がる × パッチが打てない × 物理損害」の三重苦。IT系と同じアプローチでは守れない。


MANUFACTURING DX

Excel限界から受発注システムへ、同規模の概算は?

中小製造業の概算費用・導入期間・役割分担マトリクスをその場で確認。要件整理テンプレも無料提供します。

製造業DXの概算を見る

Purdue エンタープライズ参照モデルの再確認

OT セキュリティの基礎フレームは Purdue モデル(レベル 0〜5 の階層)だ。

横にスクロールして確認できます

レベル範囲主要機器・システム
Level 5エンタープライズERP、経理、人事
Level 4サイト業務生産計画、品質、在庫
Level 3.5DMZデータヒストリアン、ミドルウェア
Level 3制御運用SCADA、MES
Level 2制御監視HMI、PLC監視
Level 1制御PLC、PID、センサー制御
Level 0現場プロセスセンサー、アクチュエーター

重要なのは Level 3.5(DMZ)

  • Level 3 と Level 4 の間を分離する DMZが、IT-OT 境界の要
  • ここでのトラフィック可視化・フィルタリングが防御の中核
  • DMZ が機能していない工場は、IT 側の侵害が OT に直接波及する

セクションまとめ: Purdue モデルのLevel 3.5(DMZ)が防御の要。ここの設計と運用が工場セキュリティの骨格。


最初にやるべき3つの実務対応

対応1:OT 資産の完全可視化

  • 全てのOT機器のIP・ファームウェアバージョン・ベンダーを洗い出す
  • Claroty / Dragos / Nozomi Networks などのOT特化ツールで自動検出
  • 紙管理・Excel台帳は事実上の "見えない資産"

対応2:IT-OT 境界の再確認

  • Level 3.5 DMZ にネットワーク分離装置(ファイアウォール/データダイオード等)があるか
  • 遠隔メンテナンスのVPNが多要素認証になっているか
  • USB・可搬媒体の持ち込みポリシーが整備・徹底されているか

対応3:インシデント対応の OT 版プレイブック

  • 工場を止めてよい条件止めない条件を経営層と事前合意
  • 生産担当とセキュリティ担当の連絡経路
  • 設備ベンダーへの緊急連絡先リスト

セクションまとめ: 「見える化 × 境界強化 × 対応体制」の3点セットが最低ライン。どれ1つ欠けても実効性が落ちる。


工場OTセキュリティの現状棚卸しを30分でお伝えします

現在の工場ネットワーク構成・設備IT連携・遠隔メンテ状況をお聞きし、Purdue モデル基準で最優先対策ポイントをご提示します。IT-OT 統合設計・補助金活用(ものづくり補助金等)のご相談にも対応しています。

OTセキュリティ診断を無料相談する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK


FREE DOWNLOAD

中小企業の脆弱性対応 月次運用テンプレ

情シス1人体制でも回せる脆弱性棚卸・対応フローのテンプレート(Excel版)。

IT-OT 境界で効くセキュリティ機能

1. ネットワーク分離 + 可視化

  • 次世代ファイアウォール(Palo Alto / FortiGate / Check Point)で L3.5 を分離
  • OT特化モニタリング(Dragos / Nozomi / Claroty)で Level 3 以下を可視化

2. データダイオード(一方向通信)

  • Level 3 → Level 3.5 へのデータ一方向転送
  • SCADA データを MES に送るが、逆方向の通信は物理的に不可能
  • 重要工場ではコスト対効果が高い選択肢

3. リモートアクセスの強化

  • **PAM(Privileged Access Management)**で設備ベンダーのアクセスを時限・記録管理
  • 多要素認証 + IP 制限を必須化
  • 録画機能つきのリモートアクセスソリューションで監査対応

4. OT 異常検知

  • 通常時の通信パターンを学習し、異常通信を自動検出
  • Purdue レベルをまたぐ不正通信をアラート化

5. IT 側 SOC との連携

  • OT アラート を Sentinel / Splunk などのIT SIEM に統合
  • IT 側 SOC のアナリスト が OT インシデントも対応できる体制

セクションまとめ: 5つの機能は段階導入可能。まず分離 → 可視化 → 異常検知 → SOC統合 の順序で投資する。


プロトコル別の典型的な落とし穴

Modbus / Modbus TCP

  • 認証機能なし:通信が傍受されれば容易に改ざん可能
  • 対策:Modbus を IP 網で使うなら必ずVPN/TLSでラップする

OPC-UA

  • セキュリティ機能はあるが、デフォルト設定ではほぼ無効
  • 対策:サーバ側で Sign+Encrypt を強制、証明書ベース認証を有効化

DNP3

  • 認証オプション(Secure Authentication)を使っていないケースが多い
  • 対策:Secure Authentication v5 を有効化

Ethernet/IP, PROFINET

  • メーカー独自の管理機能に依存
  • 対策:設備ベンダーごとの推奨セキュリティ設定を必ず確認

セクションまとめ: 主要OTプロトコルの多くはデフォルトでセキュリティが弱い。設定変更だけで大幅にリスクが下がる。


運用体制の組み立て方

最低ライン(従業員 100〜300名規模):

  • 年1回の OT セキュリティ監査
  • 設備ベンダーとのセキュリティ連絡体制整備
  • 従業員教育(USB 持ち込み・無断接続の禁止)

推奨ライン(従業員 300〜1,000名規模):

  • OT 特化の監視ツール導入
  • IT 側 SOC/MDR との連携運用
  • 四半期ごとの擬似侵入テスト
  • 設備更新時のセキュリティ要件を調達仕様書に明記

セクションまとめ: 規模に応じた段階的な体制整備。最初は年次監査・教育から、次にツール導入・SOC連携に進む。


実装チェックリスト

  • OT 資産台帳が完全に可視化されている
  • Purdue Level 3.5(DMZ)でネットワーク分離されている
  • 設備ベンダーの遠隔メンテが MFA + 記録管理になっている
  • USB 持ち込みポリシーが整備・徹底されている
  • Modbus/OPC-UA/DNP3 のセキュリティ設定を点検済み
  • 工場停止/継続判断のOTインシデントプレイブックが経営合意済み
  • IT SOC との連携プロセスが定義されている
  • 設備調達仕様書にセキュリティ要件が含まれている

実務判断のポイント

この記事は、経営者、CIO、情シス、セキュリティ担当、開発責任者向けです。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。

GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。OT/ICSセキュリティ実務ガイド2026|製造業が直面する工場ネットワーク防御の現実解に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。

放置した場合と整備した場合の違い

横にスクロールして確認できます

観点放置した場合整備した場合
業務影響属人的な判断が増え、対応の優先順位がぶれやすい影響範囲、期限、責任者を決めて進められる
投資判断ツール導入や外注費だけが先行し、効果測定が曖昧になる売上、工数削減、リスク低減の指標にひも付けられる
現場運用例外処理や承認フローが残り、定着しにくい権限、ログ、教育、改善サイクルまで設計できる
経営報告問題が発生してから説明資料を作ることになる月次で状況、課題、次の打ち手を説明できる

導入・改善前のチェックリスト

  • 対象業務、対象部門、対象データを明文化しているか
  • 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
  • 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
  • 例外処理、承認、差し戻し、監査証跡まで確認しているか
  • 社内で判断できる範囲と外部支援が必要な範囲を分けているか
  • 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
  • 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
  • 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
  • セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
  • 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
  • 経営判断に必要な資料を1枚で説明できる状態にしているか
  • 次の90日で検証する範囲と、やらない範囲を明確にしているか

GXOの見解

セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。

GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。

自社だけで整理が難しい場合、GXOは脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる。最初から大規模な発注を前提にせず、現状整理や診断から必要な範囲を確認できます。

実行までの進め方

  1. 現在の業務、データ、ツール、担当者を棚卸しする
  2. 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
  3. 初期対応、90日以内の改善、半年以上の投資を分ける
  4. 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
  5. 小さく検証し、効果測定後に本番化や横展開を判断する

FAQ

Q1. IT 側のEDRをそのまま OT に入れても良いですか?

非推奨です。OT 機器の低スペック環境や独自OSでは、IT系エージェントが動作しない・過負荷でトラブルになるケースがあります。OT 特化の軽量監視ツールを選ぶべきです。

Q2. エアギャップ(完全閉域)なら対策不要ですか?

現実にはエアギャップは維持困難です。設備ベンダーの保守接続・可搬媒体・USB など経路は多様。**「論理的に隔離し、入出る通路を監査する」**設計の方が実効性が高いです。

Q3. OT セキュリティに使える補助金はありますか?

ものづくり補助金のセキュリティ枠、IT導入補助金セキュリティ対策推進枠などが活用できます。工場のDX計画と合わせた申請が有利です。

Q4. 設備ベンダーがセキュリティ対応に消極的です。どうすれば?

調達仕様書に明記が最も効果的です。次回設備更新時のRFP/契約書に「セキュリティ要件」を盛り込み、対応しないベンダーは選ばない方針にします。

Q5. OT セキュリティの内製化は可能ですか?

完全内製化は困難です。OT 機器の知識とセキュリティ知識の両方が必要な人材は希少。内製(設備・業務知識)+ 外部専門家(セキュリティ)の協業が現実解です。


参考情報

  • IPA「制御システムのセキュリティリスク分析ガイド」
  • 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」
  • NIST SP 800-82「Guide to Operational Technology (OT) Security」
  • JPCERT/CC「制御システムセキュリティ」関連資料
  • IEC 62443 シリーズ

関連記事


製造業OT/ICSセキュリティはGXOにご相談ください

工場ネットワークの現状棚卸し、Purdue モデル基準の境界設計、IT-OT 統合 SOC 運用までワンストップで支援します。ものづくり補助金・IT導入補助金の活用もご相談ください。オンラインを中心に、全国の工場に対応可能です。

OTセキュリティ診断を無料相談する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK


公式・一次情報(最終確認: 2026年7月12日)

制度、仕様、価格、法令、脆弱性情報は改定されるため、発注・申請・対応の直前にリンク先の最新版と適用条件を再確認してください。

ISSUE HUB

セキュリティリスクを減らしたいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK