DMG MORI Digital の産業用サイバーセキュリティ認証取得事例｜テュフズード

DMG MORI Digital株式会社

セキュアな工作機械の提供でお客様と社会に安心を

ソフトウェア開発精鋭部隊が進めるDMG MORIグループの

サイバーセキュリティ

<概要>

認証取得企業：DMG MORI Digital株式会社（DMG MORIグループ）

取得した認証：産業用サイバーセキュリティ認証（IEC 62443-4-1:2018準拠）

テュフズードジャパンの提供サービス：トレーニング、GAP分析、認証審査

認証までの所要期間：1.5年

IPA（情報処理機構）の2025年のレポート¹によると、「サプライチェーンや委託先を狙った攻撃」は7年連続「情報セキュリティ10 大脅威」に入っており、製造業においてもセキュリティ対策の強化が急がれる。その中でも、製造工程の中核を担う工作機械のセキュリティは、サプライチェーン全体のセキュリティを左右する重要な要素の一つだ。

工作機械がサイバー攻撃を受けると、製造拠点における事故や生産停止といった深刻な影響を及ぼす可能性がある。そのため、セキュアな工作機械を提供することは、サプライチェーン全体のリスク軽減に不可欠である。世界最大手の工作機械メーカーの一つであるDMG森精機株式会社は産業用サイバーセキュリティ認証（IEC 62443-4-1:2018準拠）を取得し、業界のセキュリティ対策を牽引していく。

DMG MORI Digitalは、DMG MORIグループのデジタル技術を担う中核企業であり、ソフトウェア開発やIoTソリューションの提供を通じて、工作機械のデジタル化とセキュリティ強化を推進している。

IEC 62443-4-1の認証取得に対しては「我々（DMG MORI Digital）が対応しないといけないという使命感があった」と話すのは、同社の品質開発管理本部ソフトウェア運用管理部部長の星野氏。今回は、星野氏、そして星野氏と共に認証取得プロジェクトを担った同部の香田氏と久守氏に認証取得の際の体験談、そして今後の展望を聞いた。

DMG certification

認証書授与の様子/DMG MORI Digital本社、写真左からDMG MORI Digitalの香田氏、星野氏、弊社COM部登山、DMG MORI Digitalの久守氏

重大なリスクを未然に防ぐ─セキュリティ対策のための基礎としての認証取得

「（工作機械メーカーとして本認証を取得する目的は）圧倒的に安全性です。工作機械は金属を高精度に切削加工することができる一方、もし操作を間違ってしまうと怪我などに繋がる可能性があります。だからこそ、安全を徹底しています。」（星野氏）

工作機械および自動化システムを主要な製品とするDMG森精機株式会社。自動化システムを効率的に導入するために欠かせないのが、デジタルトランスフォーメーション（以下、DX）である。

一方で、DX化に伴うサイバー攻撃のリスクは前述の通り増大している。万が一、サイバー攻撃に遭った場合は、納品先における事故や工場ラインの停止といった重大な問題に発展してしまう可能性がある。

このような背景を踏まえ、DMG MORI Digitalは、サイバーセキュリティに関する体系的なプロセス構築の必要性を認識し、セキュリティリスクへ適切に対処するための基礎として産業用サイバーセキュリティ認証（IEC 62443-4-1:2018）の取得に踏み切った。

認証機関選定の決め手は、欧州での実績と信頼性

今回の認証取得にあたっては、数社を比較して審査機関を決定したというDMG MORI Digital。決め手は認証実績の豊富さと、欧州における高い知名度だったという。

「他の顧客での事例を元にアドバイスをいただけたのがよかった。」（星野氏）

「他の認証機関との比較の結果、（サイバーレジリエンス法（CRA）²を視野に入れているのもあり）欧州側の知名度というところが大きかった。」（香田氏）

ドキュメントの提出を含め、コミュニケーションが英語であるなど、進めていく上で不便がなかったかを尋ねたところ、ポジティブな回答があった。

「通訳の方の訳が非常に分かりやすかったです。セキュリティ規格に関する難しいやり取りをこちらの意図をくみ取って通訳していただけました」（香田氏）

「（DMG MORIも）ドイツに開発拠点があるので、ドイツと開発を進めているときの経験が生きて、円滑に進められました。」（星野氏）

少数精鋭チームで進めたプロジェクト

EC 62443の認証プロジェクトは、多くの部署が関わるため大規模になることが多い。しかし、今回DMG MORI Digitalでは4名の少数精鋭でプロジェクトを遂行した。

プロジェクトチームメンバーに必要だと思われる資質について尋ねたところ、「開発経験とお客様の環境を想定できることが最も重要」との回答が得られた。

「開発の経験があり、品質として検証も経験しているというのは優先度が最も高いと思います。」

「お客様がどのような環境で製品を使用するかという知識があるというのもまた重要だと思います。セキュリティの側面からお客様が使用される環境を想像することで、（製品が）納品され、狙われる場所が想像できる。」（星野氏）

IEC 62443-4-1の認証で求められるプロセス全体のうち7～8割が開発に関係するため、開発経験はあった方がよいと香田氏も話す。

「現在、認証を取得したプロセスを運用し、DMG MORIグループ会社へ展開していくフェーズに入っている。展開にあたっては、各グループ会社の開発メンバーを担当者としてアサインするようお願いしています。」（星野氏）

加えて、コミュニケーション能力や社内の調整能力、最後には「強いハート」が必要であったと締めくくった星野氏。にこやかにお話される中で、中々の苦労があったのが見て取れた。

既存の開発体制が推進の土台に

DMG MORI Digitalでは、もともと製品開発プロセスが文書化・運用されており、セキュリティリスクを評価する委員会も存在していた。これが認証取得プロジェクトの大きな土台となった。

「（DMG MORI Digitalは）要件定義・設計・実装・検証を行うV字の開発プロセスがあり、それに従って開発する文化が定着していました。そのプロセスの中に、IEC 62443-4-1が求めるセキュリティプロセスを加えていきました。たとえば、既存の要件定義のプロセスにセキュリティ要件のプロセスを追加する、などです。土台となるプロセスがあったのは（IEC 62443-4-1の認証取得のために）有利だったと思います。」（香田氏）

一方で、難解な規格を読み解き、具体的なプロセスとして書き起こし、実際に使えるプロセス文書を構築していくにあたっては何度も壁に直面した。ベースの開発プロセスにセキュリティプロセスを載せていく中で、土台の開発プロセス自体の改善が必要となった場面もあると香田氏は話す。

「IEC 62443-4-1のプロセス要件に適合させるためには、土台の開発プロセスの一部を改善する必要がありました。並列で（IEC 62443-4-1の規格の）セキュリティ要件を理解し、土台のプロセスと融合することが一番苦労した点でした。」

しかし、取得後、それを上回る価値はあったと感じている。

「（取得の手間を上回る価値があるということは）間違いなかったと思います。各プロセスの役割やインプット・アウトプットを見直すことができたためです。IEC 62443-4-1は、最初こそ難解だったものの、理解した後は非常に論理的に作られている規格だと感じました。規格に従って既存のプロセスにセキュリティ面をうまく補強できたと思っています。」（星野氏）