1. 主要ページへ移動
  2. メニューへ移動
  3. ページ下へ移動

コラム

記事公開日

【製造業向け】ゼロトラストアーキテクチャ導入ガイド

  • このエントリーをはてなブックマークに追加
DXの推進、サプライチェーン攻撃の増加、リモート保守の普及によって製造業でもゼロトラストアーキテクチャ(ZTA)の導入が急速に求められています。
しかし、一般的なオフィスITと違い製造現場にはOT機器やレガシーOS、停止できない生産設備、ベンダー保守など独特の制約があります。
そのため、製造業のゼロトラストは「社内ネットワークを全部なくす」話ではありません。 ITはゼロトラスト化を進め、OTは安全性と可用性を優先しながら段階的に強化することが現実的です。

本記事では、製造業の情シス・セキュリティ担当者向けに、以下のポイントを整理します。
● ゼロトラストの基本概念
● NIST SP800-207に基づくアーキテクチャ
● 製造業で押さえるべきIT/OTの違い
● VPNとZTNAの使い分け
● まず着手すべき導入ステップ

あわせて読みたい!

「ゼロトラストとは?」

 本記事では、ゼロトラストの本質と、明日から取り組める具体的な第一歩について、3分でわかるように解説します。
詳しくはこちら

1.ゼロトラストとは何か

ゼロトラストとは、「社内だから安全」「一度認証したから安全」とは考えず、アクセスのたびに信頼性を確認する考え方です。

従来の境界型防御では、社内ネットワークに入ってしまえば多くの資産に広くアクセスできました。
しかし現在は、クラウド利用、テレワーク、外部委託、工場保守の遠隔化などにより、社内外の境界が曖昧になってきています。

このため、ゼロトラストでは次のような考え方が重視されます。

  • 誰がアクセスしているのか
  • どの端末からアクセスしているのか
  • その端末は信頼できる状態か
  • どのアプリや装置にアクセスしようとしているのか
  • その行為は普段と比べて不自然ではないか

つまり、ゼロトラストは「信頼しない」ことが目的ではなく、「信頼を固定しない」ことが本質です。

2.ゼロトラストを支える主要要素

ゼロトラストは単一の製品では実現できません。
実際には、ID、端末、ネットワーク、データ、監視の仕組みを組み合わせて設計します。

2-1. ID・アクセス管理

ID基盤はゼロトラストの中心です。
MFA、SSO、条件付きアクセス、特権ID管理などを担います。

製造業では、協力会社、派遣社員、海外拠点、保守ベンダーなど、さまざまな属性のユーザーを扱うため、ID管理の整備が特に重要です。

2-2. エンドポイントセキュリティ

EDRは端末の挙動を監視し、不審な動きを検知・隔離する役割を担います。
設計部門のPCやサーバーだけでなく、工場内端末や保守用端末にも適用を検討します。

2-3. 安全なアクセス制御

ZTNAやSSE、SASEは、社内ネットワーク全体に入れるのではなく、必要なアプリケーションだけにアクセスさせる考え方です。
リモートアクセスの見直しでは特に重要です。

2-4. データ保護

DLPや暗号化は、設計情報、図面、配合、製造ノウハウなどの漏えい対策に有効です。

2-5. 監視・分析

SIEMやSOARは、ログを集約し、異常を相関的に分析します。
インシデント時の初動を早めるうえで欠かせません。

※これらはNISTが固定的に定義した「必須製品群」ではなく、実務でよく使われる構成要素です。

3.NIST SP800-207の基本アーキテクチャ

ゼロトラストの代表的な参照モデルが、NIST SP800-207です。
この考え方の中心には、アクセスを毎回評価し、必要に応じて制御するという思想があります。

NISTのモデルでは、主に次の3つの役割が登場します。

  • Policy Engine(PE)
    アクセスを許可するか客観的に判断する頭脳
  • Policy Administrator(PA)
    PEの判断を受けて、制御コマンドを発行する司令塔
  • Policy Enforcement Point(PEP)
    実際に通信を遮断・許可するゲートウェイ

ゼロトラストのポイント

重要なのは、認証が成功したからといって、その後ずっと信頼するわけではないことです。
ユーザー、端末、接続元、時間帯、リスクスコアなどを継続的に評価し、必要に応じて再認証や遮断を行います。

たとえば、次のようなケースではアクセスを制限します。

  • 普段と異なる地域から接続している
  • 端末に危険な挙動が検知された
  • 管理外デバイスから接続しようとしている
  • 権限に対して過大な操作を要求している

4.製造業でゼロトラストが難しい理由

製造業では、ITとOTを同じ前提で扱えません。
OT環境には、次のような制約があります。

  • 止められない
  • パッチをすぐに適用できない
  • 古いOSや専用機器が残る
  • 独自プロトコルが多い
  • ベンダー保守が前提になっている


そのため、OT領域に対しては、一般的なゼロトラスト製品をそのまま当てはめるのではなく、IEC 62443やPurdueモデルに沿ったネットワーク分離、踏み台経由の保守、監視強化を組み合わせるのが基本です。

5.IT側のゼロトラスト導入ポイント

IT領域では、比較的ゼロトラストを導入しやすくなっています。
まずは次の施策から始めると、効果が見えやすくなります。

5-1. ID基盤の統合

Microsoft Entra IDやOktaなどを活用し、認証基盤を一本化します。
ユーザーごとの権限やアクセス条件を明確にできるため、統制の起点になります。

5-2. MFAの必須化

社外からのアクセス、特権操作、重要システムへのログインにはMFAを必須化します。
IDとパスワードだけに依存しないことが基本です。

5-3. 条件付きアクセス

端末の準拠状態、場所、時間帯、リスクスコアなどを条件にして、アクセス可否を制御します。

5-4. EDRの導入

重要端末にEDRを展開し、マルウェア感染や不審挙動を早期に検知します。

5-5. ZTNAの導入

社内ネットワーク全体にVPNで接続するのではなく、必要なアプリケーションだけにアクセスできる形に移行します。

6.OT側で優先すべきセキュリティ対策

OT領域では、機能追加よりも「止めないための統制」が重要です。

6-1. ネットワークのセグメント分割

工場ネットワークを細かく分け、制御系、監視系、保守系を分離します。
必要以上に接続できる状態を避けることが基本です。

6-2. ベンダー保守の厳格化

保守ベンダーの接続は、直接接続ではなく踏み台経由にします。
接続記録、時間制限、操作範囲の制限も重要です。

6-3. 通信先の限定

重要装置は、接続先をホワイトリスト化しておくと安全性が高まります。

6-4. 資産の棚卸し

何がどこにあり、どのOSを使っているのかを把握しなければ、対策は打てません。
まずは資産管理から始めるべきです。

6-5. ログ収集と監視

OTだからログは取れない、ではなく、取れる範囲から監視を始めます。
異常通信や不審な接続を把握できるだけでも、対応速度は大きく変わります。

7.VPNは本当に不要になるのか

よくある誤解が、「ゼロトラストを導入すればVPNは完全に不要になる」というものです。
実際には、そこまで単純ではありません。

7-1. 置き換えやすい領域

  • リモートワーク
  • SaaS利用
  • 社内の一部アプリへのアクセス
  • 管理対象端末からの個別アプリ接続


これらはZTNAで置き換えやすく、従来の「VPNで社内ネットワークに入る」運用よりも安全にできます。

7-2. 残りやすい領域

  • OT機器への保守接続
  • レガシーシステム
  • 独自プロトコルのシステム
  • 拠点間の特殊な通信
  • ベンダー保守の一部


製造業では、こうした理由からVPNが一定数残ることは珍しくありません。
したがって、現実的には、VPNを一律に廃止するのではなく、ZTNA、VPN、踏み台、閉域網を用途に応じて使い分けるのが適切です。

8.管理外デバイスへの対策も忘れてはいけない

製造現場では、外部ベンダーの持ち込みPC、保守用端末、USBメモリなど、管理外デバイスの持ち込みが避けられません。
これらは自社のIdP(認証基盤)や端末管理の対象外であることが多く、通常のゼロトラスト制御だけでは十分に扱えない場合があります。

そのため、ネットワークに接続させる前後の「入り口」における対策が重要です。

  • 持ち込み端末の検査(検疫)
  • USB媒体の不正利用・マルウェア制御
  • ポート制御(使っていないLANポートの物理的な閉鎖など)
  • 利用ルールの明確化と運用徹底


これはNISTのゼロトラストの中心概念そのものではありませんが、製造業では非常に有効な実務対策です。
「信頼する前に確認する」という考え方を、物理入口にも広げたものと捉えるとよいでしょう。

9.製造業の情シスが最初に着手すべきこと

ゼロトラストは、一度に完成させるものではありません。
製造業であれば、次の順番で進めるのが現実的です。

  1. 社外アクセスのMFA必須化
  2. 重要端末へのEDR導入
  3. ID基盤の統合と権限棚卸し
  4. VPNの利用状況の可視化とZTNA移行計画
  5. OTネットワークのセグメント分離
  6. ベンダー保守の踏み台化
  7. ログの集約と監視強化
  8. 管理外デバイスの検疫運用

いきなり全社一斉に切り替えるのではなく、リスクの高い領域から順に進めることで、無理なく移行できます。

10.物理レイヤーのゼロトラストをすぐに実現する具体解

先述の「8. 管理外デバイスへの対策」や「9. 最初に着手すべきこと」の最終フェーズで触れた通り、製造現場における「外部ベンダーの持ち込みPC」への対策は必須です。

しかし、これらをネットワーク側(NACや検疫ネットワークなど)で制御しようとすると、大がかりな機器投資や複雑なネットワーク設定が必要になり、コストも導入ハードルも非常に高くなってしまいます。

この物理的な「入り口」におけるゼロトラスト(決して信頼せず、必ず状態を確認する)を手軽かつ確実に実現するのが、「PC検疫 けんちくん®」です。

けんちくんは、大がかりなネットワーク制御機器を導入するのではなく、ネットワークに接続する「前」のオフライン環境で機能します。持ち込まれたPCに専用USBを挿すだけで、自社のセキュリティポリシー(OSバージョン、パッチ適用状況、ウイルス対策ソフトの有効性など)を満たしているかを客観的に自動判定します。 相手のPC環境に影響を与えず(エージェントレス)、基準を満たさない危険な端末には明確な「NG」判定を出し、工場ネットワークへの接続を入り口で未然に防ぎます(物理的な水際対策)。同時に、USBメモリ等の外部メディアに潜むマルウェア検査も可能です。

 

11.まとめ

製造業におけるゼロトラストは、ITはゼロトラスト化を進め、OTは制約に合わせて段階的に強化するという考え方が基本です。

特に重要なのは、次の3点です。

  • IDを中心に据えること
  • 端末状態とコンテキストを継続的に評価すること
  • OTはIEC 62443やセグメンテーションと組み合わせること

VPNを一律に悪者にするのではなく、ZTNA、VPN、踏み台、閉域網を役割分担させながら、段階的にゼロトラストへ移行していく。
これが、製造業における現実的で安全な進め方です。

管理外機器の検疫システム

「PC検疫 けんちくん®」

「PC検疫 けんちくん®」は、企業や組織のネットワークに接続される管理外機器(ノートパソコン、USBメモリ、DVDなど)の安全性を、 事前に検査・確認する検疫システムです。 設備や社内ネットワークに接続する前に、管理外機器の接続の可否を判定。ウイルスやマルウェアの侵入を未然に防ぎます。
資料ダウンロード デモ希望はこちら
「PC検疫 けんちくん®」 ロゴ
  • このエントリーをはてなブックマークに追加