製造業のIT環境 ― 工場と本社をつなぐネットワーク設計とセキュリティの考え方
製造業のIT環境には、一般的なオフィスワークとは異なる固有の課題があります。工場の制御系システム(OT)と事務系システム(IT)の共存、図面・設計データという知的財産の保護、本社と工場の拠点間接続などです。
本記事では、製造業の中小企業がIT環境を設計・構築する際に考慮すべきポイントを解説します。
製造業特有のIT課題
OT(制御系)とIT(情報系)のネットワーク分離
工場の生産設備を制御するOTネットワーク(PLC、SCADA、産業用IoT等)と、業務で使うITネットワーク(メール、ファイル共有等)は、物理的または論理的に分離する必要があります。
OTネットワークがインターネットに接続されていたり、ITネットワークと同じセグメントに配置されていたりすると、ランサムウェアがITネットワーク経由でOTネットワークに侵入し、生産ラインが停止するリスクがあります。実際に国内の製造業でもランサムウェアによる工場停止事例が報告されています。
図面・設計データの保護
CADデータ、製品図面、製造仕様書などの知的財産は、製造業にとって最も価値の高い情報資産です。これらのデータが流出すると、競争優位の喪失に直結します。
本社と工場の拠点間接続
本社(事務所)と工場が物理的に離れている場合、拠点間のセキュアな通信手段が必要です。工場の現場からクラウドの業務システムにアクセスする環境も求められます。
推奨ネットワーク構成
OT/IT分離の設計
| ネットワーク | 用途 | セキュリティ |
|---|---|---|
| ITネットワーク | メール、ファイル共有、SaaS、Web閲覧 | ファイアウォール、EDR、条件付きアクセス |
| OTネットワーク | 生産設備の制御、センサーデータ収集 | ITネットワークからの一方向通信のみ許可。インターネット直接接続は禁止 |
| DMZ(非武装地帯) | IT/OT間のデータ受け渡し用中間ゾーン | 双方のネットワークから隔離された中間サーバーでデータを中継 |
OTネットワークはインターネットに直接接続させず、ITネットワークとの間にファイアウォールを設置して通信を制限します。理想的にはIEC 62443に準拠したゾーン分割を行いますが、中小企業ではまずVLANによる論理的な分離から始めるのが現実的です。
拠点間接続
クラウド完結環境の場合: 各拠点に独立したインターネット回線を引き、M365やSaaSにはそれぞれの拠点から直接アクセス(ローカルブレイクアウト)します。拠点間VPNは不要です。
オンプレミスシステムが残っている場合: VPN(IPsec)またはSD-WANで拠点間を接続します。工場にERPや生産管理システムのサーバーがある場合はこのパターンです。
工場現場のネットワーク
工場内のWi-Fi環境は、金属製の機械や粉塵などの環境要因で電波が不安定になりやすいです。産業用Wi-Fiアクセスポイント(IP65等級の防塵防水対応)の使用を推奨します。
図面・設計データの保護
SharePoint Onlineでの管理。 図面データをSharePoint Onlineに保存し、アクセス権限を設計部門のみに制限します。秘密度ラベルを「極秘」に設定し、コピー・印刷・ダウンロードを制限することも可能です。
DLPポリシー。 図面ファイル(.dwg、.stp、.igs等の拡張子)が外部に送信されることを検知・ブロックするDLPポリシーを設定します。
大容量ファイルの共有。 CADデータは数百MB〜数GBになることがあります。SharePointのファイルサイズ上限(250GB/ファイル)で十分対応可能ですが、社外の協力会社とのデータ受け渡しには、SharePointの外部共有リンク(期限付き・パスワード付き)を使用します。
セキュリティの重点項目
サプライチェーン攻撃への対策。 製造業は大企業のサプライチェーンに組み込まれていることが多く、攻撃者にとって「踏み台」になりやすい業種です。EDRの導入、VPN機器の脆弱性管理、メールセキュリティの強化を優先してください。
USBデバイスの制御。 工場現場ではUSBメモリを使ったデータの受け渡しが一般的ですが、マルウェアの感染経路にもなります。IntuneでUSBストレージの使用を制限するポリシーを適用することを検討してください。
まとめ
製造業のIT環境は「OT/IT分離」「知的財産保護」「サプライチェーンセキュリティ」の3つを軸に設計してください。特にOTネットワークとITネットワークの分離は、生産ラインを守るために最も重要な施策です。
情シス365では、製造業のIT環境構築・運用を支援しています。無料ヒアリングからお気軽にどうぞ。