2026年に入り、製造業の OT(Operational Technology)領域を狙ったサイバー攻撃が増加している。PLC(プログラマブルロジックコントローラ)・SCADA・HMI・産業用ルータに関する脆弱性の公表ペースが加速し、CISA KEV(Known Exploited Vulnerabilities Catalog)・JVN(JPCERT/CC 脆弱性データベース)・ICS-CERT で公表される OT 系 CVE は前年同期比で増えている状況だ。
ただ、CVE が出る度に慌ててパッチを当てる運用には限界がある。本記事は 「予防的設計(IEC 62443 ベースのネットワーク分離・エアギャップ・SL2 段階実装)」と「緊急対応(24 時間以内のトリアージ・隔離・パッチ計画)」を両輪で整理する。中堅製造業の情シス主任・工場長が、平時の設計判断と緊急時の対応フローを一本のガイドで使えるよう構成した。
なお、個別 CVE 番号・影響バージョン・パッチ情報は CISA KEV・JVN・NVD・各ベンダー公式アドバイザリで常に変動する。本記事はトレンドと対応フレームワークの解説を目的としており、実際のパッチ適用前には必ず一次情報を確認してほしい。
目次
- なぜ今、OT セキュリティが重要か
- 予防的設計の核:Purdue モデルと IT/OT 境界
- エアギャップ vs DMZ vs データダイオード:境界設計の3 選択肢
- IEC 62443 SL1 → SL2 → SL3:段階的実装ロードマップ
- 2026 H1 注目すべき OT 関連 CVE トレンド5分類
- 工場 OT 環境での緊急対応チェックリスト(24時間以内)
- 中堅製造業の予防投資コスト試算
- FAQ
- まとめ|OT セキュリティは「設計+月次運用」の両輪
なぜ今、OT セキュリティが重要か
2025〜2026 年のインシデント動向
IPA(情報処理推進機構)「情報セキュリティ10大脅威 2025」でも「工場や重要インフラを狙う攻撃」は組織編で上位にランクインしている。日本国内では中堅製造業を踏み台にしたサプライチェーン攻撃、ランサムウェアによる工場停止、リモートメンテナンス経路を悪用した侵入が複数報告された。
攻撃対象が「情シス」から「工場」に広がった理由
従来、サイバー攻撃の主戦場はオフィス IT(メール・ファイルサーバ・業務システム)だった。しかし、(1) 工場の IoT 化・遠隔監視導入でインターネット接続が増えた、(2) PLC・SCADA の管理画面が認証不備のまま公開されるケースが相次いだ、(3) OT 製品の脆弱性公表が世界的に加速した、という3 つの要因で工場 OT 環境そのものが攻撃対象になった。
製造業が止まった場合の損失
工場が1日停止した場合、中堅製造業(年商50億円規模)の粗利ベースでの損失は数百万〜数千万円のレンジに及ぶ。顧客への納入遅延、違約金、信用失墜まで含めると、単純な設備損失をはるかに上回る。「OT セキュリティ投資=事業継続保険」という認識が経営層にも広がりつつある。
予防的設計の核:Purdue モデルと IT/OT 境界
OT セキュリティの予防的設計は、Purdue モデル(Purdue Enterprise Reference Architecture)に基づくネットワーク階層化が出発点だ。1990 年代に Purdue 大学で提唱された産業制御の階層モデルで、IEC 62443 の前提概念にもなっている。
Purdue モデルの 6 階層
| Level | 名称 | 主な機器 | 特徴 |
|---|---|---|---|
| L0 | 物理プロセス層 | センサー、アクチュエータ、モータ | 物理現象を扱う層 |
| L1 | 基本制御層 | PLC、RTU、DCS コントローラ | リアルタイム制御 |
| L2 | 監視制御層 | SCADA、HMI、エンジニアリングワークステーション | 操作員が監視・操作 |
| L3 | 製造運用管理層 | MES、ヒストリアン、バッチ管理 | 製造実行・記録 |
| L3.5 | DMZ | プロキシ、ジャンプサーバ、データブローカー | IT/OT 境界 |
| L4 | 業務系 IT 層 | ERP、メール、Web | 一般 IT |
| L5 | エンタープライズ層 | 取引先連携、インターネット | 外部接続 |
中堅製造業でよく見る「悪い構成」
- L4 オフィス PC から L2 SCADA へ直接 RDP → ランサムウェア感染で工場停止
- L1 PLC のエンジニアリングポートが L4 経由でインターネット公開 → Shodan 検索で発見され攻撃対象に
- 保守業者が現場 USB で L1/L2 に直接アクセス → マルウェア持ち込みのリスク
- 無線 LAN AP が L2 と L4 を同一 SSID で接続 → 境界が消える
設計改善のスタートライン
最低限以下の 3 つから着手する。
- VLAN 分離:L4 と L2/L1 を物理または論理的に分ける
- L3.5 DMZ 設置:IT から OT へのアクセスは必ず DMZ ジャンプサーバ経由
- 保守用 USB の禁止または隔離 PC 専用化
エアギャップ vs DMZ vs データダイオード:境界設計の3 選択肢
IT と OT の境界をどう設計するか。3 つの選択肢を比較する。
| 方式 | 仕組み | セキュリティ強度 | 利便性 | コスト | 適した工場 |
|---|---|---|---|---|---|
| エアギャップ(物理分離) | 物理的に L2/L1 を IT 網から完全切り離し | 最高 | 低(データ取出しに USB 等必要) | 低(追加機器ほぼ不要) | 重要インフラ、機密性最重視 |
| DMZ(L3.5 分離) | プロキシ・ジャンプサーバ経由でアクセス制御 | 高 | 中(必要に応じて遠隔保守可) | 中(産業用 FW+ジャンプサーバ) | 一般中堅製造業の標準 |
| データダイオード(一方向通信) | 物理的に L2 → L4 のみの一方向通信を許可 | 最高 | 中(IT から OT への書き込み完全不可) | 高(専用ハードウェア) | データ収集は必要だが OT 制御を絶対に外から触らせたくない場合 |
エアギャップの注意点
「エアギャップは安全」というのは誤解で、Stuxnet 事件以降、USB メモリ経由でエアギャップ環境にもマルウェアが侵入する事例が多数報告されている。エアギャップを取るなら、以下を必須とする。
- USB ポートの物理封印または USB デバイスホワイトリスト
- 保守端末を専用化し、社外持ち出し時は隔離 LAN に接続
- 保守ベンダーの端末持込ルール明文化、必要に応じて専用キオスク端末で USB スキャン
DMZ の標準構成
中堅製造業の現実解は DMZ 方式。標準構成は以下のとおり。
- L3.5 DMZ に産業用ファイアウォールを設置(Fortinet FortiGate Rugged、Palo Alto Networks PA、Cisco Industrial Security Appliance、Hirschmann EAGLE 等)
- IT から OT へのアクセスは必ずジャンプサーバ経由で証跡を取る
- リモート保守は多要素認証 + 時間限定アカウントで許可
- DMZ 内にヒストリアンを置き、L2 → L3.5 → L4 のデータ流通はここを介する
データダイオードが向くケース
- 電力・水道・化学プラントなど重要インフラ
- 顧客・規制から「IT 側から OT を制御できない構造」が要求される業種
- 機密性が極めて高い軍需・先端材料製造
Owl Cyber Defense、Waterfall Security Solutions、Fox-IT 等が主要メーカーで、初期投資は数百万円から数千万円。中堅製造業全体に展開するというより、特定の重要セルに限定導入するのが現実的だ。
IEC 62443 SL1 → SL2 → SL3:段階的実装ロードマップ
国際規格 IEC 62443 は産業用制御システムのセキュリティ要件を定めている。Security Level(SL)1〜4 の 4 段階があり、中堅製造業は SL2 を目標水準にするのが現実解だ。
SL1(基本的な保護):3〜6 ヶ月で達成
「偶発的または意図しない攻撃」への耐性。最低限ここまでは到達する。
| 領域 | 実施項目 | 概算コスト(中堅工場1拠点) |
|---|---|---|
| アクセス制御 | PLC エンジニアリングポートにパスワード設定 | 工数のみ(10〜30 万円) |
| アカウント管理 | SCADA・HMI への管理者アクセスを個人アカウント化(共有アカウント廃止) | 工数のみ(30〜80 万円) |
| ネットワーク分離 | 工場内ネットワークを情報系と制御系に VLAN 分離 | スイッチ更新含め 100〜300 万円 |
| 物理セキュリティ | 制御盤の施錠、HMI の盗難防止 | 50〜150 万円 |
| パッチ管理 | 月次で CISA KEV / JVN を確認する運用ルール | 工数のみ |
SL2(意図的な単純攻撃に耐える):6〜12 ヶ月で達成
中堅製造業の目標水準。スクリプトキディや機会的攻撃者を防げる水準。
| 領域 | 実施項目 | 概算コスト(中堅工場1拠点) |
|---|---|---|
| ネットワークゾーニング | Purdue モデル準拠で L0〜L4 を明確に分離 | 設計含め 200〜500 万円 |
| 産業用ファイアウォール | L3.5 DMZ に産業用 FW 設置(FortiGate Rugged、Palo Alto、Cisco IE、Hirschmann EAGLE 等) | 機器+構築 200〜800 万円 |
| OT 特化型脅威検知 | OT 特化 IDS/NDR の段階導入(Claroty、Nozomi Networks、Dragos、Forescout 等) | 初期 300〜1,000 万円、年間サブスク 200〜500 万円 |
| 多要素認証 | リモート保守アクセスに MFA 必須化 | 50〜200 万円 |
| 脆弱性管理 | 年1回以上の OT 脆弱性診断 | 1回 100〜300 万円 |
| インシデント対応計画 | OT インシデント対応プラン文書化と年1回の机上訓練 | 工数中心(50〜150 万円) |
| 教育 | 制御系オペレータ向けセキュリティ教育(年1回) | 30〜100 万円 |
SL3(高度な攻撃者に耐える):12〜24 ヶ月で達成
電力・水道・化学プラント、重要インフラの目標水準。
| 領域 | 追加実施項目 | 概算コスト |
|---|---|---|
| 全面暗号化 | OT プロトコル通信の暗号化、証明書ベース認証 | 1,000〜3,000 万円 |
| 24/365 監視 | OT SOC(自社 or 委託)による継続監視 | 年間 1,500〜5,000 万円 |
| 高度なゾーニング | マイクロセグメンテーション、データダイオード等 | 1,000〜5,000 万円 |
| 高度な脆弱性管理 | 四半期ごとの脆弱性診断、ペネトレーションテスト | 年間 500〜1,500 万円 |
| 認証取得 | IEC 62443-2-1 / -2-4 認証取得 | 500〜2,000 万円 |
SL4(国家主体クラス攻撃に耐える)
軍需・原子力・国家インフラ。一般の中堅製造業の対象外。
ロードマップ例(中堅製造業・3 ヶ年計画)
| 年度 | 取り組み | 累計概算投資 |
|---|---|---|
| 1 年目 | SL1 完了 + Purdue モデル設計 + 産業用 FW 1 拠点導入 | 500〜1,000 万円 |
| 2 年目 | SL2 達成(全拠点に産業用 FW、OT 特化 IDS、MFA、脆弱性診断) | +800〜2,000 万円 |
| 3 年目 | SL2 維持+ハイリスク拠点を SL3 化、OT SOC 検討 | +1,000〜3,000 万円 |
2026 H1 注目すべき OT 関連 CVE トレンド5分類
以下は CISA KEV・JVN・各ベンダー公式アドバイザリで近年繰り返し公表されている代表的な脆弱性クラスを5分類に整理したものだ。個別 CVE 番号は日次で追加されるため、自社が該当ベンダーを使っている場合は月次で CISA KEV と JVN を確認する運用を推奨する。
分類1:Siemens SIMATIC PLC・TIA Portal 系
Siemens 社の SIMATIC S7 シリーズ PLC とエンジニアリングツール TIA Portal は、過去にも CISA KEV に複数の CVE が登録されている定番ターゲット。近年は認証バイパス、PLC ロジック改ざん、権限昇格のパターンが多い。Siemens 公式「ProductCERT Security Advisories」で月次更新される。
代表的な対応ステップ:
- Siemens ProductCERT の RSS フィードを工場情シスで購読
- 影響を受ける S7 モデル・ファームウェアバージョンをリスト化
- パッチ適用前にバックアップ、計画停止枠で実施
分類2:Rockwell Automation ControlLogix / Studio 5000 系
Rockwell 社の ControlLogix、CompactLogix、Studio 5000 Logix Designer に関する脆弱性も継続的に公表されている。リモートコード実行(RCE)・サービス拒否(DoS)のタイプが目立ち、北米の大型工場で運用される製品が多いため CISA KEV 掲載頻度が高い。Rockwell「Product Security Advisory Index」で一次情報を確認できる。
分類3:Schneider Electric Modicon / EcoStruxure 系
Schneider 社の Modicon PLC、EcoStruxure Control Expert、Modicon M340/M580 系は、Modbus プロトコル上の認証不備、設定ファイル漏洩などが繰り返し指摘されている。Schneider「Cybersecurity Support Portal」で脆弱性情報が公開される。
分類4:三菱電機 MELSEC / GX Works 系
三菱電機の MELSEC iQ-R、iQ-F、Q シリーズ、エンジニアリングツール GX Works3 は、国内製造業で最もシェアが高い PLC 製品群。三菱電機「製品セキュリティ情報」ページと JVN に掲載される。認証バイパス、サービス拒否、設定情報漏洩など、過去にも重要度「High」クラスの CVE が公表されている。
分類5:オムロン SYSMAC / Sysmac Studio 系
オムロン社の SYSMAC NJ/NX/NY、CP シリーズ PLC、Sysmac Studio に関する脆弱性も JVN 経由で継続的に公表される。オムロン「セキュリティ情報」ページが一次情報源。
工場 OT 環境での緊急対応チェックリスト(24時間以内)
CVE が公表された際、情シス主任・工場長が24 時間以内にやるべきことを整理する。IEC 62443 の考え方に沿い「検知 → 隔離 → パッチ → 監視」の 4 段階で動く。
ステップ1:対象機器の棚卸し(2 時間以内)
- [ ] 工場内の PLC・SCADA・HMI のベンダー・型番・ファームウェアバージョンをリスト化
- [ ] 影響を受けるバージョンが自社で使われているか照合
- [ ] 対象機器のネットワーク接続先(制御系・情報系・インターネット接続有無)を確認
ステップ2:ネットワーク隔離(即時)
- [ ] 対象 PLC・SCADA を情報系ネットワークから物理的または論理的に分離
- [ ] リモートメンテナンス用 VPN・TeamViewer・AnyDesk 等のリモートアクセスを一時停止
- [ ] ファイアウォールで対象機器の外部通信をブロック
ステップ3:パッチ適用計画(24〜72 時間以内)
- [ ] ベンダー公式サイトでパッチの有無を確認
- [ ] パッチ適用による生産停止時間を見積り
- [ ] 計画停止枠(週末・月次メンテナンス)での適用スケジュール確定
- [ ] パッチ適用前のバックアップ取得、PLC ロジックとレシピデータの保全
ステップ4:監視強化(継続運用)
- [ ] 対象機器のログ監視体制を 1 ヶ月間強化
- [ ] 異常通信・想定外のアクセス元 IP を検知する仕組みを構築
- [ ] CISA KEV・JVN・ベンダー公式アドバイザリの月次チェックを継続
中堅製造業の予防投資コスト試算
「予防に投資すべきはわかるが、いくらかかるのか」という経営質問への回答テンプレ。
想定:年商50億円・従業員300名・工場2拠点・PLC 200台
| フェーズ | 主な投資 | 概算 |
|---|---|---|
| 1 年目(SL1 + 設計) | Purdue 設計、VLAN 分離、産業用 FW 1 拠点、教育 | 700〜1,500 万円 |
| 2 年目(SL2 達成) | 産業用 FW 2 拠点目、OT 特化 IDS、MFA、脆弱性診断 | +1,000〜2,500 万円 |
| 3 年目(運用定着) | OT SOC 委託、年次脆弱性診断、机上訓練 | +800〜2,000 万円 |
| 3 年累計 | 2,500〜6,000 万円 |
投資対効果(参考)
工場1日停止による損失は中堅製造業で数百万〜数千万円のレンジ。ランサムウェアによる平均停止日数は7〜21 日と複数の調査が指摘しており、1 件のインシデントで数千万〜数億円の損失が発生する可能性がある。3 年累計2,500〜6,000 万円の予防投資は、1 件のインシデント回避で十分回収できる水準だ。
「自社の工場、どこから OT セキュリティを整備すべき?」
GXO の「工場 OT セキュリティ無料診断」では、Purdue モデルでの現状ネットワーク評価、IEC 62443 SL1/SL2 ギャップ分析、産業用 FW・OT 特化 IDS の選定支援、補助金活用プランまで提示します。緊急 CVE 対応のリスト照合と並行して、3 ヶ年の予防投資ロードマップを無料で作成します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
FAQ
Q1. 古い PLC(10 年以上前の機種)にもパッチは出ますか?
ベンダーのサポートポリシー次第。Siemens・Rockwell・Schneider・三菱電機・オムロンはいずれも製品ごとにサポート終了時期を公表しており、EOL(End of Life)を迎えた機種にはパッチが提供されない。EOL 機種が工場にある場合は、(1) 更新投資の計画、(2) ネットワーク隔離の強化、(3) 補助金を活用した設備更新、のいずれかを経営判断として進める必要がある。
Q2. CISA KEV と JVN、どちらを優先すべきですか?
両方が推奨だが、優先度を付けるなら CISA KEV → JVN → NVD の順。CISA KEV は「実際に攻撃に悪用されている CVE」のみを掲載するため、パッチ適用優先順位を決める根拠として最も信頼性が高い。JVN は日本向けのローカライズ情報、ベンダー固有の対応情報が豊富なため補完的に確認する。
Q3. エアギャップを取れば本当に安全ですか?
Stuxnet 事件以降、エアギャップ環境にも USB メモリ経由でマルウェアが侵入する事例が多数報告されている。エアギャップを取るなら、USB ポート封印、保守端末専用化、ベンダー持込端末のキオスク端末スキャン等の追加対策が必須。「エアギャップを引けば終わり」ではなく「物理隔離 + 媒体管理 + 人的管理」のセットで考えるべきだ。
Q4. OT 特化 IDS(Claroty、Nozomi Networks、Dragos)はどれが良いですか?
業界別の得意領域がやや異なる。Claroty は医療・製造でのプロトコル網羅性、Nozomi Networks は電力・石油ガス、Dragos は重要インフラのインシデント対応知見、Forescout は IT/OT 統合可視化が強み。中堅製造業で初導入なら、まず PoC で 1 拠点に入れて自社プロトコル(Modbus、PROFINET、EtherNet/IP、CC-Link 等)の検出精度を比較するのが現実的だ。
Q5. OT セキュリティの投資は補助金の対象になりますか?
ものづくり補助金・中小企業省力化投資補助金・サイバーセキュリティお助け隊サービス等の枠組みで、OT 脆弱性診断、OT 特化型セキュリティツール導入、ネットワーク分離工事が経費として計上できるケースがある。公募回次・申請枠により条件が変わるため、中小企業庁・各補助金事務局の公式公募要領を必ず最新版で確認してほしい。経済産業省「工場サイバーセキュリティガイドライン」も社内の投資判断の根拠資料として活用できる。
Q6. IEC 62443 認証は取るべきですか?
中堅製造業の一般工場であれば、まず SL2 相当の運用を達成することが先。認証取得(IEC 62443-2-1 / -2-4 / -3-3 / -4-2 等)は顧客・親会社からの要求がある場合に検討する。自動車部品、防衛、原子力、重要インフラのサプライヤーでは取得を求められるケースが増えている。認証取得には500〜2,000 万円のコンサル・審査費用がかかる。
まとめ|OT セキュリティは「設計+月次運用」の両輪
OT/PLC/SCADA のセキュリティは、CVE が出てから慌てる対症療法だけでは追いつかない。Purdue モデルでネットワークを分け、IEC 62443 SL2 を目標水準に予防的設計を組み、月次で CISA KEV・JVN・ベンダー公式を確認する運用を定着させる。この両輪が中堅製造業の OT セキュリティの基盤になる。
具体的には:
- 設計:Purdue 6 階層、L3.5 DMZ、産業用 FW、エアギャップ or DMZ 方式、OT 特化 IDS
- 段階導入:1 年目 SL1 + 設計、2 年目 SL2 達成、3 年目運用定着+ハイリスク拠点 SL3 化
- 緊急対応:CVE 公表時の 24 時間チェックリスト(棚卸し → 隔離 → パッチ計画 → 監視強化)
- 投資:中堅製造業の3 年累計 2,500〜6,000 万円。補助金で自社負担を抑制
- 継続運用:月次 CVE チェック、年次脆弱性診断、年次机上訓練
GXO では中堅製造業向けに OT セキュリティ体制構築、Purdue モデル設計、IEC 62443 準拠ロードマップ策定、緊急 CVE 対応支援を行っています。
「IEC 62443 SL2 を目指したいが、どこから手を付けるか」
GXO の OT セキュリティ無料診断では、Purdue 階層チェック・産業用 FW 選定・OT IDS PoC 計画・補助金活用案・3 ヶ年投資ロードマップを提示します。緊急 CVE 対応とセットで予防的設計まで一気通貫で支援します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
参考資料
- IPA(情報処理推進機構)「情報セキュリティ10大脅威 2025」
- 経済産業省「工場サイバーセキュリティガイドライン」
- IEC 62443 シリーズ(IEC/ISA 公式)
- CISA KEV Catalog(https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
- JVN(JPCERT/CC 脆弱性データベース、https://jvn.jp/)
- NVD(National Vulnerability Database、https://nvd.nist.gov/)
- 各ベンダー公式アドバイザリ(Siemens ProductCERT、Rockwell PSI、Schneider Cybersecurity Support、三菱電機 製品セキュリティ情報、オムロン セキュリティ情報)