ファクトリーセキュリティ

昨今、サイバー攻撃は頻発しており、さらには高度化・巧妙化していることから、その脅威は高まるばかりです。
一般的に攻撃者は本社等のセキュリティ強度の高いところをわざわざ狙うことは少なく、常套手段としては関連会社などセキュリティガバナンスが弱い部分から侵入を試みます。昨今の報道でのインシデント事例からも裏付けられます。製造業ではサプライチェーンとして関連会社との連携が多く、ファクトリー（工場）のセキュリティ強化が喫緊の課題です。

当社も例外ではなく、数年前まで各工場のセキュリティ対策が、それぞれどのような状態になっているか把握できておらず、セキュリティガバナンス面でも不足面が多く、まずはアセスメントによる現状把握から実施する必要がありました。生産工程ではロボットや測定装置などパソコンが組み込まれた装置が多数あり、そのパソコンのOSが最新に保たれずセキュリティパッチが当てられず、これらは攻撃者にとっては格好の標的です。生産の一部がセキュリティインシデントにより停止するだけで、ライン停止につながり、その被害額が数億円規模になる脅威が足元にあるという状況です。

当社ではファクトリセキュリティ強化活動を2022年から開始しており、2024年時点でリコーグループ全体の一部の工場にて実施済みですが、今後はこれまでの実績をベースに国内外の他拠点へ水平展開し、全工場への展開完了を目指しております。

生産拠点起点のセキュリティ事故の発生確率を少しでも下げることで、全生産拠点がセキュリティ視点で安心・安全な製品を顧客へお届けできるようになることが活動の目標となります。

これまでに得られたファクトリーセキュリティに関する知見やノウハウについて、リコーグループ社内実践のサステナビリティページ（A-09 ファクトリーセキュリティ）にてご紹介しております。是非ご参照ください。

近年のセキュリティ事故は単なる１現場の生産停止にとどまらず、環境汚染・災害・顧客事業への影響等生産現場にとどまらない影響を及ぼす要因となりえます。セキュリティ起因の事故により、生産現場の近隣住民の方、消耗品等製品を待つ顧客、製造部品の供給元、さまざまな方面に多大なご迷惑をおかけすることのないよう、BCP活動の一環として生産現場の安全を守ります。

生産現場のセキュリティリスクを低減することにより、製品を生産・製造する環境をよりセキュアに維持します。セキュリティ起因の事故により、生産工程の一部として組み込まれるデジタル機材の安定稼働に影響を与えることで生産に影響を与えないように、生産現場のリスク低減活動をBCPの一部として継続的に実施します。

生産の維持には生産環境（設備）だけではなく生産用データ・顧客データ等さまざまな情報（データ）を必要とします。近年のデジタル化によりデジタルのデータの急増と共にデータに関するセキュリティリスクも急増し、生産維持にもデータを守る・情報を守ることの重要性が増してきています。
生産工程で取り扱うさまざまな情報（データ）の機密性・完全性・可用性を保てるように維持します。

人財、プロセス、技術の三要素でのセキュリティ向上活動を実施します。各要素が密に連携しながら全体の成熟度をスパイラルアップさせることで、生産現場主体の継続的・安定的な工場セキュリティリスク低減を目指します。

生産現場ではBCP活動、5S活動、TPM活動などの日常的に生産を守る活動が行われています。セキュリティという新たな分野を単体で生産現場に持ち込むのではなく、既に日常的に実施している現場にその一要素としてセキュリティ視点を追加する形で日々の活動に溶け込ませ、自分事として捉えることでセキュリティ文化を醸成します。

効果測定・評価の観点から生産現場に適した 標準、または、ガイドラインを用います。近年、生産現場に特化した形の標準・ガイドラインが国内外問わず制定されていますので、現場のセキュリティリスクを解決するために適した標準を適宜選定し、準拠していきます。サイバー攻撃の進化速度に対応するために適用する標準を1つに固定するのではなく、複数の標準の使い分け、年度ごとの見直し等により継続的に最適化していきます。

現場の課題を解決し、現場に価値を感じてもらうセキュリティ対策を実施

技術より人・組織、プロセスが重要。人・組織のセキュリティ意識が前提でセキュリティは強化

リコーにとって重要な製品を生産している工場、デジタル・マニュファクチャリングが進んでいる工場をリファレンス工場として選定
リファレンス工場での対策結果から得られたアセット・ナレッジを国内・海外に展開

短期、中期的に目指すべきセキュリティレベルを決定して対策を実施
アセスメント事例のある経済産業省発行の工場セキュリティガイドラインをセキュリティ標準（ものさし）として対策に活用

工場では長年、安全衛生や自然災害対策などの観点からリスクマネジメントを実施してきました。これらは全社的な統括部署の指揮下で運用されてきましたが、近年ではサイバー攻撃などの新たな脅威に対応するため、工場セキュリティリスクも既存のマネジメント体制への統合を目指しています。

セキュリティ統括部署の支援のもと、各工場はセキュリティインシデントへの対応体制や連絡ルート、対応プロセスを整備しています。さらに、これらの体制やルールの実効性を高めるため、定期的な机上訓練や実地訓練を通じて、各工場の実情に即した改善が継続的に行われています。

工場セキュリティのガバナンスは、従来のリスク管理の枠組みを拡張しつつ、新たな脅威に対する総合的な対応力を強化する方向へと進化しています。

ガバナンス活動で制定した基準を基礎として、各工場の事業特性や実情に合わせて、現場レベルに即したセキュリティルールやガイドラインを作成しています。
このアプローチにより、グループ工場全体のセキュリティレベルを向上させつつ、各工場に最適化された効率的な運営を維持しています。 

従業員のセキュリティ意識向上、知識・スキル・ノウハウ習得、そしてセキュリティ意識強化のために以下のような三段階の基礎教育・専門教育を行っています。

また、BCP/5S/TPM 活動の中に溶け込ませる形で活動を行い、起こしたくない事故を自分事で捉えて考えることを重視しています。
多くの社員が集まる場所でサイネージによる教育映像を流す等の手段を活用して、常にセキュリティを意識する活動を実施しています。

現場の視察と担当者ヒアリングを通じて技術視点で対策状況を調査・確認し、現状を評価します（下表①）。
評価結果に対して、現在の対応状況、リスクの大きさ、事業へのインパクトを踏まえて導入する技術、機器を現場主導で決定します（下表②）。
リスクやインパクトが小さい場合は対策不要と判断するなど、現場最適になるよう柔軟性のある活動を実施しています（下表③）。