工場BCPとセキュリティ

2025年5月にさかのぼりますが、特定非営利活動法人日本ネットワークセキュリティ協会から「今すぐ実践できる工場セキュリティハンドブック」が公開されていました。
昨今のサプライチェーンリスクを鑑みて、工場におけるITやOTに特化したBCP策定支援のガイドブックとなります。
今回のコラムでは、工場セキュリティハンドブックの概要や有用性について解説します。

概要

このハンドブックは、製造業・特に中小規模の工場を想定して、サイバーインシデント発生時のIT（OT含む）面での事業継続計画（BCP）策定支援を目的にしています。
シリーズとして、すでに「リスクアセスメント編」「リスク対策編」が公開されており、今回の「サイバー対応IT-BCP編」で一連のシリーズが完結という位置づけです。

28問の質問シート（ひな形）に自社の実情を当てはめることで、生成AI（ChatGPT,、Copilot, Gemini 等）を使って自社向けBCP文書を自動生成できるツールが提供されています。
リスクの把握・対策から「備え」の段階を経て、「インシデント発生後の迅速な対応・復旧」にまで踏み込んでいることが、工場（OT/制御システムを抱える現場）には特に重要という内容となっています。

つまり、「防御だけではなく、万一の時にも事業を止めない、また速やかに立ち直る（復旧・継続）という視点」で、工場におけるサイバー・セキュリティを捉え直すためのハンドブックです。

使い方・ベストプラクティス

このハンドブックを現場・管理部門・経営層で活用する際の、ベストプラクティスを以下に整理します。

1. 全体俯瞰
まずハンドブックの「なぜIT面でのBCPが必要か」の解説部分を経営層・管理部門が俯瞰し、工場現場の事情（特にOT／制御系や生産システム）と対話をすることが重要です。ハンドブックもこの目的を掲げています。
経営・工場管理・IT／制御部門が「もし攻撃を受けて生産ラインが止まったら何が困るか？」を共通言語で共有する起点となります。

2. 28問質問シートを活用／生成AIでカスタマイズ
自社の実情をひな型質問に回答し、生成AIを通じて自社向けBCP文書を作成するという手順を取ります。
Excel版／HTML版ツールが提供されており、質問に回答後「AIプロンプト用テキスト」が生成され、それを生成AIに流し込んで文書化します。
ベストプラクティスとしては、質問への回答を製造現場視点（設備・制御系）／IT視点／経営視点それぞれからレビューをかけることです。生成AIが出力する文書はベーシックなものなので、現場固有の要件（生産停止時間許容、代替手段、設備復旧計画など）を加えることが重要になります。

3.「初動・対応・復旧」のフロー明確化
ハンドブックでは、工場におけるセキュリティは「防御→検知→対応→復旧」が重要だと説いています。
ベストプラクティスとしては、BCP文書内に「どこを誰が（役職）・どの手段で・どれくらいの時間内に動くか」を具体的に規定することを求めています。例えば「制御システムへの侵入が疑われたら、即 IT管理者＋制御システム責任者に通報 → 控え回線を使って隔離」などです。

4.訓練・レビュー・更新を組み込む
文書を作成して終わりではなく「訓練（シナリオ演習）→振り返り→更新」のサイクルを入れることが、工場における実効性維持のキーです。ハンドブック文脈でも「実践できる」ことが目的とされています。
ベストプラクティスとしては、年１回以上のシミュレーション演習（ランサムウェア被害、制御系停止など）、振り返り会議と計画の更新を組み込むことです。

5.現場・経営の「共通言語」をつなぐ
工場では「安全・品質・納期・コスト」が重視され、IT／セキュリティ視点だけでは伝わりにくいという指摘があります。
ベストプラクティスとしては、BCP文書や運用運用手順において「生産停止1時間あたりの損失額」「ライン停止による納期延滞リスク」「設備再稼動までの時間見込み」など「工場側の言葉」を盛り込むと、経営理解を得やすくなります。