川崎重工業株式会社
川崎重工業株式会社
川崎重工業株式会社
サイバーセキュリティ認証で、セキュアなロボットの土台作りを実現
川崎重工のセキュリティ対策を牽引し、豊かな未来を支える
産業システムへのサイバー攻撃は、プラントの停止、機器の破損などのビジネス上の損失だけでなく、人命や環境への影響の危険性をもはらむ。近年はデータ保護のみならず、工場やインフラの中で制御用に利用されるオペレーショナルテクノロジー(OT)をサイバー攻撃から保護するアプローチが注目されている。その対策として実証されているのが、国際標準規格IEC 62443シリーズだ。
このたび川崎重工業株式会社の精密機械・ロボットカンパニー ロボットディビジョンは、産業用制御システムのサイバーセキュリティ認証(IEC 62443-4-1:2018準拠)を取得した。これにより、同部門の製品開発ライフサイクルプロセスは、想定されるサイバーセキュリティ上の脅威に対し、多層防御の考え方を取り入れたセキュアバイデザインにより製品が開発されることと、脆弱性も含めた製品のセキュリティ問題が確実に管理されることを証明した。
川崎重工株式会社(以下、川崎重工)では、汎用、自動車用、半導体用、医療用等のさまざまなロボットを開発・販売しており、今回認証を取得した同社ロボットディビジョン技術総括部 制御開発部 制御開発一課(以下、同課)では、それらのロボットを動かすロボットコントローラに入っている、制御ソフトの基盤部分を開発している。
同社におけるサイバーセキュリティ対策の位置づけ、認証取得までの道のり、そして今後の展望について、同課の課長で認証プロジェクトを率いた荒本氏と同課の安本氏にお話を伺った。
2024年9月、認証授与式にて(場所:川崎重工業株式会社)
写真左から、坂東賢二氏(川崎重工業株式会社 精密機械・ロボットカンパニー ロボットディビジョン長)、アンドレア・コシャ(テュフズードジャパン株式会社 代表取締役社長)
認証取得の動機は、欧州サイバーレジリエンス法(CRA)への対応の必要性から
今回のサイバーセキュリティ認証取得の動機について、荒本氏は次のように説明する。
「欧州でサイバーレジリエンス法(Cyber Resilience Act、以下CRA)が発行されるというのが大きな要因です」
CRAとは、サイバーレジリエンス(セキュリティ被害への適応力)強化に向け、欧州で2022年に法案が公表され、2024年10月に正式に採択された後、2024年末に発効される見込みの規制だ。これにより、欧州にデジタル要素を備えた製品を上市する企業には、製品のサイバーセキュリティ強化が義務付けられるようになる。
「CRAについては、草案が出たころに知りました。我々も開発部門ですので、最新の規制情報も知っておかなければと思いつつも、日々の業務に追われる中ではなかなか情報が入ってきづらくて…。そこで社内のDX戦略本部やコンサルタントとも相談しながら情報を集めていきました」(荒本氏)
本社のDX戦略本部はITセキュリティを主に扱っていたため、ロボットコントローラや製品セキュリティなどのOTセキュリティについては荒本氏と安本氏の所属する課が補完をする形で、社内で連携し情報収集を進めていったという。荒本氏は次のように続ける。
「CRAを遵守しないと市場監視機関によって罰金が科され、ビジネスが困難になる可能性があることがわかりました。何より、メーカーとして社会の要求に対応するということは必要です。また、要求に応えていくことは競合他社との差別化にもなると考えています。当時CRA はまだ草案段階で発効もされていませんでしたが、IEC 62443シリーズとの類似点が多いため、まずはIEC 62443-4-1、IEC 62443-4-2に対応することを決めました」
CRAへの対応に向けて動き出した同課。社内で連携しながら情報を収集する中で、テュフズードの認証サービスに行きついたという。
「元々機能安全認証の方ではお付き合いがありましたが、(テュフズードジャパンから)セキュリティ認証のお話も聞く機会がありまして。我々としても確実に認証を取りたいですし、親身にアドバイスしてくださる所が望ましいなと。テュフズードさんは厳格な審査を行う第三者認証機関として世界的にも知られていますので、認証を受けることにしました」(荒本氏)
プロジェクトの開始当初は、セキュリティに対する知識が十分とは言えない状態だったという同課。荒本氏は、「IEC 62443-4-1の各要件に対し、具体的にどのような対応をすれば十分と言えるのかが判断できずに苦労しました」 と振り返る。
「DX戦略本部のサポートで、規制の概要について事前に把握できていたのはよかったですね。またテュフズードジャパンのトレーニングやGAP分析を受けながら、少しずつ理解を深めてレベルアップすることで、なんとか対応できました」(荒本氏)
また認証取得に際しハードルになりやすいのが、認証取得を主導する部署や人の選定だ。開発部門、技術部門、品質保証部門など、認証取得を率いる部門によってその先の道のりが変わりやすいのが現状だ。安本氏は次のように当時を振り返る。
「はじめにIEC 62443-4-1認証の対応の話が来たとき、規程の話であれば技術管理部門が主導した方がいいのでは、というイメージを持っていたんです。我々は開発部門ですので、毛並みが違う仕事だなというのが第一印象でした」
ただ認証に向けた実務に取り組んでいくうちに、その印象は変わっていったという。
「技術的な内容も多いですし、認証を取得するためには、セキュリティ機能を実際に作り込んでいかなければなりません。次第に、これは単に規格を取るという話ではなくて、製品に反映させてしっかりとした対応をしなければならない重要な内容なんだ、と」(安本氏)
川崎重工では開発部門が主体となり、DX戦略本部や品質保証部門、技術管理部門、その他関連部門との調整を進めながら、認証取得プロジェクトが進んだ。そのプロセスを荒本氏は次のように説明する。
「セキュリティ対応を進めるにあたり、DX戦略本部には法規制に関する知識だけではなく、セキュリティ試験の方法についてもサポートをもらえて助けられましたね。またISO 9001に準拠した開発プロセスがあり、IEC 62443-4-1対応を進める土台にすることができたのもよかったです」 
安本氏は次のように続ける。
「今回の認証取得に当たり、社内規程を改定したり、新しく作ったりというプロセスも多くありました。改定については専門の部門にお願いし、新しい規程の発行は我々が分担して担当しました」
社内規程の発行にあたり、新たな気づきもあったという。
「社内規定を把握しきれていない部分が正直ありました。ただこの機会に改めて見直したことで、セキュリティに関するところ以外であっても変えるべきところが見えたり、本来どうあるべきか考えたりと、規程に対する向き合い方が変わったと思います」(安本氏)
認証取得に向け、社内の各部門と連携しながら、社内規程の発行という新たな業務にも真摯に対応してきた同課。認証に至るまでのテュフズードジャパンのサービスについては、荒本氏は次のように振り返る。
「GAP分析においては、規格の解釈について等、有用な指摘を多くいただけたと思います。また、GAP分析から本審査まで、日本人による日本語での対応をいただいたので非常に助かりました」
最終的なテュフズード(ドイツ本社)による審査では、指摘を一つも受けることなく、晴れてサイバーセキュリティ認証(IEC 62443-4-1:2018準拠)を取得した精密機械・ロボットカンパニー ロボットディビジョン。
「(テュフズードジャパンの)日本メンバーでしっかりご対応いただけたためと考えています」 と荒本氏は謙遜するが、間違いなく川崎重工のチームワークが実を結んだ結果だと言えるだろう。
社内で先駆けてサイバーセキュリティ認証を取得した同部門。荒本氏と安本氏は、今年度から本社のDX戦略本部所属になった。「セキュリティのノウハウを持つ人材」として、社内における2人への期待の強さが伺える。
製品セキュリティの対応を進める他部門から、話を聞かれることは増えました。認証取得により、自分達のプロセスが説得力をもち、社内において頼られる存在になったと感じています」 と荒本氏は語る。また安本氏は次のように続ける。
「他部門にはその製品特有の規格もありますし、(今回取得した)IEC 62443-4-1の認証取得が必要というわけではないのでしょうが、基本的にやるべきことは同じということで、他部門の打ち合わせに参加する機会が今後も増えていくのかなと思っています」
さらに、本認証取得や社内におけるセキュリティ対策への関わりを通じ、荒本氏は同課の役割を次のように捉えている。
「我々の課は、直接的な利益を出す部門ではないんですね。もちろん、ベースの部分を作り、自動車やクリーンロボットなどを支える役目を果たしているわけで、間接的には貢献をしている自負はあるのですが。その中で、『皆のためになる仕事をしないと』というのは常々思ってきました。今回の認証取得もその一つかなと思っています」
国際的な産業オートメーションおよび制御システムのセキュリティの国際規格であるIEC62443-4-1の認証を取得した川崎重工ロボットディビジョン。今後の展望について、荒本氏と安本氏は次のように語る。
「我々ロボットディビジョンには、『ロボットと生きる 喜び豊かな未来をささえる』というパーパスがあります。セキュリティ対策の確かなロボットを通じて、それに貢献出来たらいいなと…。今回の認証取得を通じて、部門の方針を改めて思い出すきっかけにもなりましたね」 と安本氏は笑顔で語る。 また荒本氏は次のように続ける。
「まだまだこれからも課題はありますが、このプロセスに沿って進めていけばいいという確証を得られたことが、今後の製品セキュリティの対応にとって大きいと感じています。今後も引き続き、製品のセキュリティを確保する取り組みを実施し、セキュリティ面でも信頼性の高い製品を提供していきます」
認証を取得したことにより、製品セキュリティの柱ができたという同社。社会を支える川崎重工の製品の基盤には、さらに同社ロボットディビジョンの努力が認証という形で、土台となって支えている。
[プレスリリース] テュフズード、川崎重工に産業用制御システムのサイバーセキュリティ認証(IEC 62443-4-1:2018準拠)を発行
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa
