物理分離と論理分離の違いとは？工場を守るネットワーク分離とIT-BCP

ネットワーク分離の2つのアプローチ：物理分離と論理分離

「ネットワーク分離」とは、機密情報や制御システムをサイバー攻撃から守るために、通信経路を分断する対策の総称です。具体的には、以下の2つのアプローチに大別されます。

① 物理分離（Physical Separation）

ネットワーク機器やケーブルを物理的に一切接続せず、空間的に隔離する方法です。

• メリット: 外部ネットワークとつながっていないため、サイバー攻撃の侵入経路を物理的に遮断できる「最強の防御」です。
• デメリット: データの受け渡しに物理的な媒体（USB等）が必要になり、運用の手間とコストが大幅に増大します。

② 論理分離（Logical Separation）

同じ物理機器（スイッチやルーター）を使いつつ、VLAN（仮想LAN）などのソフトウェア設定によって、仮想的な「壁」を作る方法です。

• メリット: 既存のインフラを活用できるため低コストで導入でき、必要に応じて通信設定を柔軟に変更できます。
• デメリット: 設定ミスや、ネットワーク機器自体の脆弱性を突かれた場合に、その「壁」を突破されるリスクがあります。

比較まとめ

なぜ今、ネットワーク分離が必要なのか

かつての工場は「インターネットに繋がっていない（クローズド環境）」ことが最大の防御でした。しかし、DX推進やスマート工場化により、保守端末の接続やデータ連携が避けられなくなった今、「どこかで侵入されることを前提に、被害範囲を最小化する（＝分離する）」という考え方が、製造業のBCPにおいてスタンダードとなっています。

ネットワークを分離しても防げない「歩く脅威」

ネットワーク分離は「壁」を作る非常に有効な手段ですが、実はこれだけではIT-BCPとしては不十分です。なぜなら、その壁を正当に通り抜ける「デバイス」の存在があるからです。

工場現場における最大の盲点は、「物理的な持ち込み端末」です。

• 外部ベンダーの保守用PC: メンテナンスのために、一時的に工場網へ直接接続される端末。
• 緊急時に持ち出された予備PC: 普段使われておらず、OSのパッチ更新やウイルス対策が数ヶ月放置されていた端末。

物理分離であっても論理分離であっても、こうした端末が既にウイルスに感染していれば、ネットワークの「壁」の内側で直接ウイルスを放流することになります。これでは、どんなに強固な分離対策も無意味化してしまいます。

IT-BCPの実効性を高める「PC検疫」の役割

IT-BCPの真の目的は、災害や攻撃時に「いかに早く、安全に業務を復旧させるか」にあります。分離されたクリーンな環境を守り抜くためには、ネットワークの入口で「その端末は繋いでも安全か？」を客観的にチェックする「検疫」が不可欠です。

「PC検疫けんちくん」が製造現場の最後の砦になる理由

「PC検疫けんちくん」は、ネットワーク接続前の「関所」として、IT-BCPを「動く仕組み」に変えます。

1. エージェントレスで検査可能：持ち込みPCの環境を汚さない  
   工場の保守などで持ち込まれる外部業者のPCには、検査用のソフトをインストールする必要はありません（エージェントレス）。けんちくんは「専用USBを挿すだけ」で検査が完了するため、相手のPC環境や既存の業務フローに影響を与えずに、スムーズな運用導入が可能です。
   
   
   
2. 確実な水際対策：脆弱なPCをネットワークに「通さない」
   OSのパッチ適用状況やウイルス対策ソフトの状態をシステムが自動で客観的に判定します。ネットワーク側で事後に通信を遮断するのではなく、ネットワークに接続する「前」のオフライン環境で不備のあるPCに明確なNG判定を出し、危険な端末の持ち込み（接続）を物理的に防ぎます。
   
   
   
3. 復旧スピードの向上：二次感染を未然に防ぐ
   万が一の被災やシステム障害時、復旧作業に使うPC（長期間保管されていた予備PCなど）の安全性をオフラインで瞬時に証明できます。安全が確認されたPCのみで構成されるクリーンな環境で作業を行えるため、マルウェアの二次感染リスクを排除し、確信を持ってラインの再稼働へと踏み切れます。
   
   
   

まとめ：ネットワーク分離＋検疫による多層防御を

「分離」という境界防御と、「検疫」という入口対策。この2つを組み合わせた多層防御こそが、製造業のIT-BCPを完成させる鍵となります。

「うちは分離しているから大丈夫」という過信を捨て、デバイス1台1台の安全性を担保する仕組みを検討してみてはいかがでしょうか。