スマートファクトリーの「地図」と「ルール」
~ISA-95とIEC 62443が変える工場セキュリティ
2026年1月22日
最近、大手企業の生産拠点や物流センターがランサムウェア攻撃を受け、生産ラインや出荷業務が長期間停止に追い込まれるという事態が現実のものとなっています。
これはもはや「ITシステム」だけの問題ではありません。工場の「OT(制御)システム」、つまり生産ラインそのものが直接停止させられるリスクとして、真剣に向き合うべき課題となりました。
工場をこの脅威から守るには、守るべき「2つの場所」を正しく理解し、対策することが不可欠です。
- ITネットワークと工場をつなぐ「境界(IDMZ※)」
- 工場内部のライン間などをつなぐ「内部(セグメント)」
ITからの侵入を防ぐ「境界」の防御はもちろん重要ですが、もしマルウェアが内部に侵入した場合、「内部」の防御(防火壁)がなければ、感染は瞬時に工場全体へ広がります(ラテラルムーブメント)。
この「境界」と「内部」という、2つの重要なセキュリティポイントに盲点はないでしょうか?
「工場を止めない」ために本当に守るべき場所はどこか。
その答えは、工場の「地図」として参照されるISA-95と、工場の制御システムをサイバー攻撃から守るための国際標準であるIEC 62443に示されています。
本記事では、この2つの標準が示す「現代の工場が守るべきポイント」と、その実現方法を分かりやすく解説します。
※IDMZ(Industrial DMZ / 産業DMZ)は、ITネットワークとOTネットワーク間での通信を分離し、直接的なセキュリティリスクを低減するための重要な仕組みのこと
1. ISA-95とは?工場の「理想の地図」
ISA-95(IEC 62264)は、工場の生産現場(OT)と企業システム(IT)をつなぐための国際規格です。工場をレベル0〜4に区分して機能と役割を整理するための規格であり、工場の「理想的なお手本(地図)」として広く利用されます。Purdueモデル(産業制御システムを階層構造で整理するための、世界的に標準となっている参照モデルのこと)と階層の考え方が一致しており、現場では両者を併用してIT(レベル4)とOT(レベル3以下)の境界や責務を明確にします。
| レベル | 概要 |
|---|---|
| レベル4 | IT(企業システム) |
| レベル3 | OT(製造オペレーション管理) |
| レベル0~2 | OT(現場の制御機器) |
この「地図」に基づくネットワーク分割では、ITとOTが接続される境界に産業DMZ(IDMZ)を設ける設計が一般的です。これを便宜上『レベル3.5』と言います。
| レベル | 概要 |
|---|---|
| レベル4 | IT(企業システム) |
| レベル3.5 | 産業DMZ(IDMZ) |
| レベル3 | OT(製造オペレーション管理) |
| レベル0~2 | OT(現場の制御機器) |
2. 新時代の「セキュリティルール」IEC 62443とは?
ISA-95が「地図」だとすれば、IEC 62443は、その地図の上で安全に行動するための「セキュリティルールブック」です。
IEC 62443は「ゾーン&コンジット(Zones & Conduits)」の考え方を設計要求としています。
| ゾーン (Zone) | 守るべきエリア(例:「ITゾーン」「Aラインゾーン」) |
| コンジット (Conduit) | ゾーン間をつなぐ「安全な通信路」 |
この「コンジット」は、IT / OTの「境界」はもちろん、工場内部(例:AラインとBラインの間)にも「防火壁」として設置し、ゾーンに細かく分割(セグメンテーション)することを求めています。
サイバー攻撃の傾向と対策
3. なぜ「境界」と「内部防火壁」の両方が重要なのか?
工場セキュリティは「多層防御」が基本ですが、いくつか課題もあります。
境界(IDMZ)の課題
ITからのマルウェア侵入を防ぐ「境界」として不可欠です。しかし、スマートファクトリー化に伴い、IT側からOTのデータを参照(OTプロトコル通信)する必要も出ており、単に遮断するだけでは業務が成り立たなくなっています。
内部防火壁の課題
もし「境界」が突破されたり、マルウェアがUSB等で内部(Aライン)に持ち込まれた場合、内部がフラットなネットワークだと瞬時に感染が広がります。感染の「横展開(ラテラルムーブメント)」を防ぎ、被害を局所化する「防火壁」が不可欠です。
4. OT-DPIで「賢い」多層防御を実現するEAGLE40
「境界」と「防火壁」の両方(=IEC 62443の「コンジット」)に共通して求められるのは、OTプロトコル(Modbus等)の「中身」まで検査できる「賢さ」です。これを実現するのが、DPI(ディープ・パケット・インスペクション)と呼ばれる技術です。これは、手紙の宛先だけでなく、中の便箋に何が書かれているかまでチェックするような仕組みです。
Hirschmann(ヒルシュマン)のEAGLE40は、この「賢さ」を持つ「産業用次世代ファイアウォール」として、両方の場所で活躍します。
役割①:「賢い境界(IDMZ)」として
EAGLE40は、IT / OT境界でDPI(ディープ・パケット・インスペクション)により、厳格なセキュリティ・ポリシー(コンジットで適用される通信ルール)に基づく通信制御を構成できます。例えば、
- IT側からの不要な通信(SMB、RDP等)は原則として遮断し、必要なもののみ例外許可します。
- 業務上必要なOTプロトコル通信のみを許可します。その際もDPIで中身を検査し、『読み取りは許可/書き込み・停止はブロック』といった具体的な操作単位でのきめ細やかな制御が可能です。
※最終的なルールは各現場の運用・安全要件に合わせて策定します
役割②:OT内部の「賢い防火壁」として
OT内部の「賢い防火壁」、これがマルウェアの「横展開」を防ぐEAGLE40の真価です。
AラインとBラインの間に「防火壁」として設置し、「AからBへの『書き込み・停止』コマンド(マルウェアや誤操作)はブロック」という、プロトコルに応じた厳格な制御が可能です。例えばModbusでは“読み取り/書き込み等の操作の種類”を表すファンクションコードなどです。
5. 工場の現実に即した「導入」と「堅牢性」
この「賢い防火壁(DPI)」を導入・運用する際、OTネットワーク特有の大きなハードルに直面します。それは、現場でどのような通信が(どの機器間で、どのプロトコルを使って)行われているかを正確に把握するのが難しく、「どんなルール(セキュリティポリシー)を作ればよいか分からない」という問題です。
EAGLE40は、この課題に対してFirewall Learning Mode(FLM)を提供します。FLMを有効にすると、通過する実運用トラフィックを記録・分析し、送受信元・ポート・プロトコル(例:Modbus/TCP、OPC(Classic)など)の組み合わせを自動的に学習します。
管理者は、学習結果(許可候補)をレビューし、業務に必要と判断したものだけをポリシー(ファイアウォールルール)として反映できます。
これにより、手作業のルール作成にかかる工数や、必要な通信まで止めてしまう設定ミスのリスクを大幅に低減し、効率よくベースラインの許可ルールを整備できます。DPIの詳細制御(例:「読み取りは許可/書き込み・停止はブロック」など)は、併せてプロトコルごとのDPIポリシーで設定すると効果的です。
もちろん、ファンレス設計、広範な動作温度(-40℃〜+70℃)、DINレール対応など、制御盤内での連続稼働に耐える産業用グレードの堅牢性を備えます。
6. まとめ
最後にまとめると、ISA-95の「地図」を、IEC 62443の「ルール」で守るには、
- 「境界(IDMZ)」の厳格な管理
- 「OT内部の防火壁(セグメンテーション)」による横展開の阻止
という「多層防御」が不可欠です。
EAGLE40は、
- 「OT-DPI」で不正なコマンドだけを止める「賢さ」
- 「学習モード(FLM)」でポリシー作成を支援する「導入容易性」
- 「産業用設計」で止まらない「堅牢性」
を兼ね備え、この「多層防御」を1台で担う最適なソリューションです。
EAGLE40のより詳しい内容や工場のセキュリティについてのご相談はお気軽にお問い合わせください。
