サイバーフィジカルセキュリティとは?脅威・対策の基本を分かりやすく解説
製造ラインや発電設備、交通システムなど、社会を支える多くの現場では、機械がネットワークにつながり便利になっています。しかしその一方で、サイバー攻撃のリスクも増えている状況です。
「自社のシステムは本当に大丈夫なのか」「もし止まったらどう対処すればいいのか」など、不安に感じる方も多いでしょう。そのような場合、機械(フィジカル)と情報システム(サイバー)の両方を守る考え方である、サイバーフィジカルセキュリティが重要となってきます。
この記事では、サイバーフィジカルセキュリティの基本から、攻撃の入り口、検知・復旧方法、設計時の工夫、外部委託の注意点などを分かりやすく解説します。
サイバーフィジカルセキュリティとは何か
サイバーフィジカルセキュリティは、工場や交通、エネルギーなどにおける「機械」と「ITシステム」を一体で守る考え方です。(※)
ここでは、その仕組みや背景を解説します。
※出典:経済産業省「工場システムにおけるサイバーフィジカルセキュリティ対策ガイドライン」
CPS/CPSFの定義と背景
「CPS(サイバーフィジカルシステム)」とは、現場の機械やセンサーなどの物理的な仕組みと、コンピュータやネットワークといった情報の仕組みをつなげたシステムのことです。例えば、工場の生産ラインをセンサーが監視している場合、データをもとにAIが自動で監視範囲を調整するような仕組みがCPSとなります。
このCPSを安全に動かすための枠組みが「CPSF(サイバーフィジカルセキュリティフレームワーク)」です。CPSFでは、設計・運用・監視・復旧までを一連の流れとして整理し、どの段階で何を守るべきかを明確にします。(※)
これにより、情報システム部門と現場部門の連携が取りやすくなり、事故やトラブルを防ぐ仕組みが整えられます。
※出典:経済産業省「サイバーフィジカルセキュリティ対策フレームワーク(CPSF)とその展開」
サイバー空間と物理空間を統合して守る必要性
これまでのセキュリティ対策は、情報システム(IT)と現場設備(OT)を別々に考えることが多くありました。しかし、近年はネットワークでつながる機器が増え、どちらか一方が狙われると、もう一方にも影響が及ぶような構成になっています。
例えば、遠隔操作で工場設備を制御している場合、通信が悪用されると誤動作や機械停止につながるおそれなどです。こうしたリスクを防ぐには、「サイバー空間(データや通信)」と「物理空間(機械や装置)」を一体として守る必要があります。そのため、情報の流れを見える化し、接続点でアクセス制限や監視を行うことで、被害の広がりを防ぐことが重要です。
代表的な脅威「サイバーキネティック攻撃」とその実例
代表的な脅威として「サイバーキネティック攻撃」があります。サイバーキネティック攻撃とは、ネットワークを通じて現場の機械や装置の動作を変更し、物理的な影響を与える攻撃のことです。例えば、水処理施設で薬品の注入量を不正に遠隔操作されると、水質が変わり利用者の安全に関わる可能性が出てきます。
実際2021年には、アメリカの石油パイプライン企業が攻撃を受け、燃料供給が一時的に停止した事例もあります。このように、デジタル上の侵入が社会インフラ全体の停止につながるため、深刻な状況を招くといえるでしょう。(※)
サイバーフィジカルセキュリティでは、こうした現実的な被害を想定し、監視・制御・復旧までを一体で設計することが重要となります。
※出典:米国サイバーセキュリティ・インフラストラクチャ庁(CISA)「コロニアル・パイプラインへの攻撃」
サイバーフィジカルセキュリティの脅威
サイバーフィジカルシステムでは、ITと現場の機器が密接につながるため、攻撃者が入り込む経路も数多くあります。センサーやIoT機器、通信経路、ソフトウェア更新など、一見小さく見える入口が被害の引き金となる場合もあります。
ここでは、現場で起こりやすい代表的な3つの侵入経路と、攻撃の仕組みや防ぐための取り組みについて解説します。
IoT機器・センサーの弱点を狙う攻撃
IoT機器やセンサーは便利な一方で、初期設定のまま使われることが多く、これが攻撃者に狙われやすい部分です。基本設定を見直すだけでも、被害を防ぐ効果があります。主な対策ポイントは、次のとおりです。
- 機器ごとに「設置場所」「機能」「管理者」を明確にする
- 初期パスワードを変更し、強固な認証方式を設定する
- 多要素認証を導入し、アクセス制限を強化する
- メーカー提供の更新プログラムを定期的に適用する
- 利用していない機能やポートは停止しておく
IoT機器は、規模の小さな装置でもネットワーク全体への入り口になり得ます。特に、監視カメラや温度センサーのような身近な装置ほど、更新や設定の管理が後回しにされがちです。
どんな小さな機器でも、「一つのコンピュータ」として扱い、パスワード変更や更新を定期的に行うことが重要です。基本の積み重ねが、もっとも効果的な防御になります。
ネットワーク・通信経路でのマルウェア侵入
ネットワークを共有していると、社内メール経由で制御システムにマルウェアが侵入する可能性があります。通信経路を整理し、分離設計を行うことが基本です。主な対策ポイントは以下のとおりです。
- 制御系と事務系ネットワークを物理的・論理的に分離する
- 不要な通信を遮断し、アクセス範囲を最小化する
- 通信ログを常時監視し、異常を早期に発見する
- 遠隔保守は限定的に行い、操作履歴を残す
- ファイアウォールやVPNを活用し、安全な接続を維持する
ネットワークは利便性と同時に、攻撃者にとってもっとも使われやすい侵入口です。便利な接続を増やすほど、監視と制御の仕組みが重要になります。日常的な通信を「見える化」し、普段と違う動きをすぐに把握できるようにしておくことが、被害の早期発見につながります。
ネットワークの構成図を常に最新の状態に保ち、全体の通信ルートを把握することが安全の第一歩です。
ソフトウェア脆弱性やファームウェア改ざん
古いソフトウェアやファームウェアには欠陥(脆弱性)が残っており、攻撃者はその点をついて侵入します。改ざんされたファイルを取り込んでしまうと、機器の動作を勝手に変えられることも考えられる状況です。対策としては、次のポイントが重要となります。
- 機器ごとにバージョンや最終更新日を一覧で記録する
- 更新ファイルは必ずメーカーの公式サイトから入手する
- 電子署名を確認し、正規の更新ファイルかどうかを確かめる
- セキュアブートを導入し、起動時に改ざんを検出できるようにする
- 更新作業の手順と担当者を明確にし、定期的に見直す
ソフトウェアの更新を後回しにすると、すでに見つかっている弱点を攻撃者に悪用されるおそれがあります。更新ファイルを装って不正なプログラムが送り込まれると、機器の制御が奪われたり、内部のデータが書き換えられたりすることも考えられるでしょう。
こうした事態を防ぐには、公式な更新手順を守り、改ざんを見抜ける仕組みを用意しておくことが欠かせません。更新管理を日常業務の一部として習慣化することが、もっとも確実な防御策です。
設計段階における防御設計のポイント
システムや装置を安全に運用するためには、完成してから対策を加えるのではなく、設計の初期段階からセキュリティを考慮することが重要です。後付けの対策はコストが高く、抜け漏れも発生しやすくなります。ここでは、設計段階で意識すべき視点について、実践しやすい形で解説します。
セキュリティ・バイ・デザインの原則
「セキュリティ・バイ・デザイン」とは、システムを作る初期段階から「安全性」を設計に組み込む考え方です。(※)
完成後に対策を加えるのではなく、構想・設計・開発・運用・廃止までを一つの流れとして考えます。例えば、アクセス権を必要最小限に設定したり、不要な機能を最初から排除したりする方法です。
また、システムのライフサイクル全体を通じて、変更や更新に対しても安全性を保つことが求められます。図面や設計書に情報の流れや管理範囲を明記しておくことで、後から引き継ぐ人も安全に運用が可能です。結果として、設計時の小さな配慮が、長期的に見てもっとも確実な防御になります。
※出典:独立行政法人 情報処理推進機構(IPA)「セキュリティ・バイ・デザイン 導⼊指南書」(Page-4)
境界制御とセグメンテーション
システムを一つのネットワークでまとめてしまうと、1カ所が攻撃されただけで全体に影響が及ぶ危険性があります。これを防ぐために、役割や重要度に応じてネットワークを分ける「セグメンテーション」が重要です。
例えば、制御システムと事務系システムを分離し、通信する際は中継サーバーを通すなどの方法があります。また、遠隔保守は限定された時間だけ接続し、履歴を残すことで不正操作を妨げることが可能です。
このように、物理的・論理的な境界を設けることで、万が一の侵入があっても被害を最小限に抑えられます。システム構成を図で整理し、どこが境界であるかを明確にしておくことが第一歩です。
冗長性・フォールバック構成(復旧構成)と安全停止設計
どんなに堅牢なシステムでも、障害や攻撃によって一時的に停止することはあります。その際に重要なのが「安全に止まる」仕組みと「すぐに戻せる」構成です。
例えば、重要なサーバーや通信機器を二重化しておけば、一方が故障しても運用を続けられます。また、更新作業で不具合が発生した場合に元の状態へ戻せる「フォールバック構成(復旧構成)」も有効な方法です。
制御が不安定になった場合に、設備を安全な状態で自動停止させる仕組みを設計段階で考慮しておくことが望ましいです。こうした備えがあることで、障害発生時の混乱を防ぎ、復旧までの時間を短縮できます。
検知・対応・復旧のステップと運用上の配慮
万が一の攻撃や障害が発生した時に被害を最小限に抑えるためには、「異常を素早く検知」「適切に対応」「確実に復旧」の流れを整えておくことが重要です。ここでは、この3つのステップについて解説します。
リアルタイムモニタリングとアラート設計
システムを守る第一歩は、異常に早く気づくことです。リアルタイムモニタリングは、ネットワーク通信や装置の動きを常に監視し、普段と違う動作を検出します。例えば、通常より通信量が急に増えた場合や、深夜にアクセスが発生した場合など、明らかな変化を自動的に知らせるアラートを設定する形です。
アラートの重要度は「注意」「警告」「重大」のように段階を分け、対応の優先順位を明確にします。例えば、次のような取り決めです。
| 重要度 | 例 | 初動対応 |
| 注意 | 通信量が普段の2倍に増加した | 管理者へ通知、様子見と記録 |
| 警告 | 夜間の管理画面にアクセスがあった | 該当端末の確認、権限を見直し |
| 重大 | 不正IPからの設定変更試行があった | 接続遮断、関係者へ即時連絡 |
ただし、通知が多すぎると、重要な警告を見落としてしまいます。そのため、月に1回はルールを見直し、無駄な通知を減らすようにしましょう。監視は、社内ネットワークと、制御ネットワークの両方を対象にします。
フォレンジック(ログ分析)による原因究明
トラブルの発生時に必要なのは、「何が」「どのように」起こったかを明らかにすることです。そのために行うのが、フォレンジック調査とログ分析です。フォレンジック調査とは、技術的・科学的手法でログを分析し、事実関係を明確にすることです。
- トラブルが発生
- 影響拡大を防ぐため、関係区画の通信を一時制限する
- 関連ログを別の保存先へ退避し、上書きや改ざんを防ぐ
- 認証・設定変更・外部通信の順にたどり、入り口と広がり方を特定する
- 判明した原因ごとに再発防止策(設定修正・権限見直し・手順改善)を決める
ログの正確性を担保するため、平常時からログの「保存期間」「保存場所」「閲覧権限」を決め、すべてのシステムで時刻の同期を徹底します。
事業継続・復旧戦略
セキュリティ対策の最終目的は、被害を「ゼロ」にするだけではなく、「早く復旧させる」ことも含まれます。災害復旧(DR)や事業継続計画(BCP)は、そのための仕組みです。あらかじめ重要な設備やシステムを洗い出し、復旧の優先順位を決めておくことで、混乱時に落ち着いた対応が可能となります。
また、バックアップデータは複数世代を保存し、定期的に復元テストを行うことが重要です。代替設備や予備拠点を用意しておくことも、事業を止めずに継続させる有効な手段となります。
外部委託・業者との役割分担とガバナンス体制
クラウドや外部サービスを利用すると便利になりますが、セキュリティの責任が自社と委託先の間で分かれるため、役割を明確にしておくことが重要です。トラブルが起きた際に「誰が何を担当するのか」が不明確だと、復旧が遅れたり同じ対応が重なったりしてしまうでしょう。
ここでは、責任範囲の決め方、第三者によるチェックの活用、契約で定めておくべき内容について解説します。
SaaS/クラウド/アウトソーサー利用時の責任と境界
クラウドや外部サービスを使うときは、「どこまでが自社の責任か」を明確にすることが重要です。設定やデータ管理の範囲を確認し、委託先との分担をはっきりさせましょう。主な確認ポイントは次のとおりです。
- 契約前に「責任共有モデル」を確認する
- 自社で管理する項目(ID・設定・データなど)を整理する
- 多要素認証やアクセス制御を必ず導入する
- 障害発生時の連絡先と手順を共有しておく
- 定期的に責任範囲を見直し、変更を反映する
クラウドサービスを利用する場合は「責任共有モデル」の理解が重要です。クラウド事業者と利用者の責任範囲を明確に分け、運用責任を共有し合っているという考え方を指します。(※)
ただし、設定漏れやデータ保護を怠ると、自社の責任範囲でトラブルが発生するおそれがあるので注意が必要です。導入前に管理範囲を洗い出し、必要な対策を実施しておくことが大切となります。
また、障害や事故が発生した際に、誰がどのように対応するかを明文化しておけば、復旧までの混乱を防ぐことが可能です。
※出典:内閣官房国家サイバー統括室「クラウドを利用した システム運用に関するガイダンス」(Page-11)
第三者評価・監査
外部委託先が信頼できるか確認するには、第三者機関の認証や監査結果をチェックします。客観的な証明が、安全な取引の裏付けになる形です。主なチェック項目としては、次の内容になります。
- ISO/IEC 27001(情報セキュリティマネジメントシステム)やSOC2(Service Organization Control2:サービス組織管理報告)などの認証取得状況を確認する
- セキュリティ診断やペネトレーションテスト(脆弱性検証テスト)を定期的に実施
- 診断範囲・頻度・報告書の内容を明確にする
- 指摘事項への対応状況を追跡し、改善を確認する
- 外部監査を「形式」で終わらせず、継続的改善に活用する
第三者機関による評価は、委託先の安全性を見極める有効な手段です。ISO(国際標準化機構)やSOC(Service Organization Control:サービス組織管理報告)などの認証は、一定の基準を満たしていることを保証します。ただし、それだけで安心せず、実際の運用が基準どおりに行われているかも確認してください。定期的なセキュリティ診断を依頼し、報告内容をもとに改善が実施されているかを追跡することが大切です。
契約条項で定めるセキュリティ要求・SLAs
外部委託では、契約時にセキュリティや品質の条件を数値で明確にすることが重要です。SLA(サービス品質保証)を活用する方法があります。主な取り決め項目は次のとおりです。
- 障害報告の期限・復旧目標時間(RTO)を設定する
- バックアップの頻度と保存場所を明記する
- データの暗号化方法・ログ保管期限を定める
- 脆弱性対応や再委託ルールを契約に含める
- 契約内容を年1回以上見直し、最新化する
契約は、安心して義務を任せるための「安全網」です。特にSLA(サービス品質保証)にて、復旧時間やバックアップ頻度などを具体的な数値で定めることで、期待する品質を明確にできます。
また、再委託や情報漏えいが起きた場合の報告義務も契約に含めておくと安心です。契約を結んだ後も、環境やサービス内容の変化に応じて定期的に見直しましょう。
まとめ
サイバーフィジカルセキュリティは、ITと現場機器がつながる今の時代に欠かせない考え方です。IoT機器や通信経路など、攻撃されやすい入口を把握して対策を整えてください。
また、設計段階で安全性を組み込み、異常の検知や復旧までの流れを整備することで、万一の被害を最小限に抑えられます。
クラウドや委託先など外部と連携する際は、責任範囲を明確にし、契約や監査を通じて信頼性を高めることが重要です。この取り組みを地道に続けることで、現場に合った実践的なセキュリティ体制を築くことができます。
最後に
詳細資料をご希望の方は以下フォームよりメールアドレスをご登録ください。
[2025年11月12日 時点]
