DX推進、脅威の進化、法規制等OTを取り巻く環境は変貌を遂げており、製造業へのサイバー攻撃は日々ニュースで顕在化しています。重要なことはそれぞれの立場で自分ごとと認識し、リスクを把握すること、そして、「セキュリティリスク=ビジネスリスク」であることを理解して対策を検討する必要があります。本項では組織、運用、技術の三要素をバランス良く進めることで実効性の有るセキュリティ対策の実施方法をご紹介します。

講師

藤原 健太 氏

フォーティネットジャパン合同会社
OTビジネス開発部
マネージャー

製造業におけるDXの加速に伴い、IT/OTを融合した新しいモノづくりの現場が求められている中、サプライチェーン全体を含めた外部からの侵入経路が拡大しています。こうした現状から、多岐に渡る侵入経路を入口で防ぐことが難しくなっており、端末側での感染を食い止める対策についても見直されています。20年以上エンドポイントセキュリティ開発を通して培った技術とナレッジを持つインテリジェント ウェイブならではの解決策をご紹介します。

講師

川岡 晃 氏

株式会社インテリジェント ウェイブ
セキュリティシステム本部

シュナイダーエレクトリックは、サイバーセキュリティにエコシステム全体で取り組んでいます。
本セッションでは、シュナイダーが自社自身で、社内のサイバーセキュリティ対策にどのように取り組んできたのか、自社の取り組みを交えて、お客様にどのようなサイバーセキュリティのソリューションを提供できるのか、日本市場に向けてどのようなアプローチを取っているかについて、ご紹介します。

講師

森本 直幸 氏

シュナイダーエレクトリックホールディングス株式会社
デジタルソリューションズ
ダイレクター

ITセキュリティのゼロトラスは、「人やユーザ」を起点とし、信頼できるユーザも無条件に信頼せず、認証などを継続的に行うアプローチです。一方、OTセキュリティにけるゼロトラストは「装置や機器」を起点とし、資産のライフサイクルの各ステージにおいて「常に疑い、常に検証する」ことにより、生産活動の継続性を実現するアプローチです。本セッションでは「OTゼロトラスト」の具体的な実践例を紹介します。

講師

今野 尊之 氏

TXOne Networks Japan合同会社
マーケティング本部
業務執行役員 ビジネス戦略担当 兼 マーケティング本部長

首都圏の電力供給を担う東京電力パワーグリッドにおいて、お客さまへ高品質な電気を安定的に送り届けるため、電力制御システムは欠かせないものとなっております。
本講演では、電力制御システムを中心に東京電力パワーグリッドが行ってきたサイバーセキュリティ対策の取り組みを紹介するとともに、私が携わっている電力制御システムのペネトレーションテスト内製化について、制御システムの特徴やリスク分析手法を交え、具体的な事例や内製で実施することでみえてきたことをお話しさせていただきたいと思います。

講師

千賀 章 氏

東京電力パワーグリッド株式会社
サイバーセキュリティセンター
セキュリティ技術グループ
スペシャリスト

■経歴
~2015年：電力保安通信設備の保守・運用・構築に従事
~2017年：スマートメーターシステムのリスクアセスメントに従事
~現在：社内システムのセキュリティ診断やエンドポイント対策に従事
■資格
・CISSP(Certified Information Systems Security Professional)
・CEH(Certified Ethical Hacker)"

本講演では、サプライチェーンセキュリティ底上げのための中小企業の工場セキュリティ向上に、セキスペの方のスキマ時間を活用するビジネスモデルを立ち上げるため行った実証実験について紹介する。

この実証実験では、2022年11月に公開されたばかりの経済産業省の工場向けセキュリティガイドラインを活用して、三重県産業支援センターの協力のもと、16社の中小企業に対して、セキスペ2名で分担をして、ガイドラインのチェックリストを用いた現状把握とアドバイスを、1時間のオンライン相談で実施した。

相談を行った2名のセキスペの方と、中小企業の工場セキュリティとセキュリティ人材シェアの在り方についてパネルディスカッションを行う。

講師

佐々木 弘志

IPA産業サイバーセキュリティセンター
専門委員

高橋 徹 氏

情報処理安全確保支援士
<所属>
DIC株式会社 四日市工場製造グループ
GUTPコンサルティング

■専門分野・得意分野

• 情報セキュリティ、サイバーセキュリティ、インターネットの安全安心な利用方法の啓発
• 中小企業のサイバーセキュリティ、IT経営・DX支援
• 生産管理

■資格等
情報処理安全確保支援士、情報セキュリティ監査人補、ITコーディネータ、セキュリティプレゼンター登録（IPA）、テレワークマネジャー（総務省）、インターネット利用アドバイザー、ネットセーフティ・アドバイザー、AI・IoTシニアコンサルタント、ITマスター（厚生労働省）、システムアナリスト（情報処理技術者試験）

■主な経歴

• 医薬品、農薬、診断薬、工場（化学工業）の生産管理システム再構築プロジェクト（ERP、特にSAP、生産在庫管理）、工場のシステム管理（セキュリティを含む）、生産計画・生産管理・品質管理業務を経験
• 中小企業情報セキュリティマネジメント指導業務実施（情報セキュリティ基本方針等の設定&Security Action二つ星取得支援）
• テレワークセキュリティ関連業務アドバイス
• ITC三重定例会、三重県技能士会サイバーセキュリティ研修講師
• インターネット安全教室講師
• ITネットワーク構築技能支援&情報セキュリティ入門講師（高校生向け）

山岡 茂治 氏

情報処理安全確保支援士
<所属>
みらいこ株式会社 代表取締役
一般社団法人未来の大人応援プロジェクト 副代表
GUTPコンサルティング

埼玉県川越市に生まれる。情報系専門学校卒業の後、就職先でITベンチャーの子会社を作り役員となる。その後、フリーランスを経て会社を設立し、拠点を東京から名古屋に移し活動。更に妻の実家の三重県多気町へ引っ越し、IT関連の仕事以外に子供たちの教育や地域活動により携わるようになる。2018年7月末に、家族との時間を増やし、より教育や地域の活動も遂行するため東京の会社を退職。伊勢にて「みらいこ株式会社」を設立。一般社団法人にも在籍。クラウドを基盤とした情報系や教育系のシステム構築や開発、そして導入提案などを得意としています。Microsoft関連とeラーニングを専門とし、企業やNPOのICT／セキュリティアドバイザーから実際の開発作業まで幅広くおこなっています。また、IT講師として新入社員研修から各種セミナー、大学での非常勤講師や高校での講師などもおこなっています。

現在の重要インフラと日本の産業を支えるOT環境は、昨今のDXにおける業界・各社の取り組みを背景にAIやIoT、クラウドなどの活用が進展し、大きな変化が生じています。こうした環境変化は世界各地でも進んでおり、それら技術の活用に伴って生まれる新たなサイバーリスクを視野にいれたとき、どのような対応が必要となるか、そこで必要な人材の育成はどのように行うのか等を考えなければなりません。対応方針、プロセス、対策全体について考察します。

講師

北野 晴人 氏

デロイト トーマツ サイバー合同会社
サイバーアドバイザリー
執行役員

Nozomi Networks社創業者の一人であるAndrea氏は、元々重要インフラのセキュリティエンジニアでした。彼は現場で様々なインシデントに直面して、OTセキュリティに何が必要なのかをユーザ目線から考え今日に至っています。本セッションではAndrea氏から重要インフラへの攻撃の増加と今後必要とするOTセキュリティの考え方を、またテリロジーからは国内のOTセキュリティを取り組まれている様々なお客様の導入背景/導入後の感想/課題などをお伝えいたします。

講師

御木 拓真 氏

株式会社テリロジー
営業統括第二部　OT/IoT セキュリティ事業部
部長

Andrea Carcano 氏

NOZOMI NETWORKS
Co-Founder・Chief Product Officer

増加するIT環境の端末、工場の外部ネットワーク接続など、DX推進においてIT/OT/IoTを取り巻く環境はますます変化しています。
このようにサイバー攻撃から守るべき対象が増える一方で、特にOT環境においては古い設備などが原因で対策が進まないケースも多くあるのではないでしょうか。
本セッションでは、IT/OT/IoT環境を網羅的にセキュリティ対策するための現実的な最適解と、将来を見据えた対策の心得を解説します。

講師

山岸 朋弥 氏

株式会社マクニカ ネットワークスカンパニー
第3営業統括部
第3営業部 第1課

業務効率化や組織の競争力の強化を可能とするデジタルトランスフォーメーション（DX）やIoTの利活用が進んでいる一方で、IT/OTを使ったインフラを狙ったサイバー攻撃のリスクも多様化、深刻化しています。本セッションではPalo Alto Networksが提供する効果的なサイバーリスクの可視化、分析方法、および限られたリソースのなかで効率的に対応する方法について説明します。

講師

櫻井 渉 氏

パロアルトネットワークス株式会社
技術本部
システムズエンジニア

現在、重要インフラの多くはOEMメーカーによって組み込まれたサードパーティのハードウェアおよびソフトウェアコンポーネントと、OEMによって開発されたコンポーネントに依存しています。これらの一般的なコンポーネントの脆弱性は、複数のインフラ部門、資産所有者、機器ベンダーに影響を与える可能性があります。log4jの脆弱性のような事件は、これらの共通コンポーネントが運用技術に与える影響が非常に大きいことを物語っています。この懸念に対処するため、米国は、重要インフラのデジタルコンポーネントの列挙とテスト、および教育と設計手法によるセキュアバイデザインのインフラコンポーネントの開発促進に重点を置いた官民パートナーシップを通じて、重要インフラのデジタルサプライチェーンセキュリティへの深い投資を開始しました。

エネルギーサイバーセンスプログラムを通じて、DOEは製造業者や資産所有者と協力し、エネルギー部門の重要なサプライチェーンにおけるデジタル部品のサイバー脆弱性を発見、緩和、および技術的に排除している。 本講演では、Energy Cyber Senseプログラム内の2つの取り組み、Cyber Testing for Resilient Industrial Control Systems（CyTRICS）とCyber-Informed Engineering（CIE）について、これらのプログラムがエネルギーセクターで使用されるソフトウェアとシステムの影響と依存性をどのように示しているか、エネルギーシステム、ハードウェア、ソフトウェアにおけるサブコンポーネントのデジタル実証に関する洞察を提供し、クラス最高のテストを適用して共通モードの脆弱性を検出し対処し、サプライチェーンリスク管理を最適化すべくセクターとより広いサプライチェーンのコミュニティに教育と認識を提供することをご説明します。

Much of today’s critical infrastructure depends upon 3rd party hardware and software components incorporated by original equipment manufacturers along with OEM-developed components to provide desired functionality. Vulnerabilities in these common components have the potential to impact multiple infrastructure sectors, asset owners, and equipment vendors. Incidents like the vulnerabilities in log4j illustrate the immense impact these common components can have on operational technology. To address this concern, the United States has initiated deep investments into critical infrastructure digital supply chain security through public-private partnerships focused on enumeration and testing of digital components of critical infrastructure and in furthering development of secure-by-design infrastructure components through education and design methodologies.

Through the Energy Cyber Sense program, DOE works with manufacturers and asset owners to discover, mitigate, and engineer out cyber vulnerabilities in digital components in the Energy Sector critical supply chains. This talk will discuss two efforts within the Energy Cyber Sense Program, the Cyber Testing for Resilient Industrial Control Systems (CyTRICS) and Cyber-Informed Engineering (CIE) to explain how these programs illustrate impacts and dependencies of software and systems used in the energy sector; provide insights on the digital provenance of subcomponents in energy systems, hardware, and software; apply best-in-class testing to discover and address common mode vulnerabilities; and provide education and awareness, across the sector and the broader supply chain community to optimize management of supply chain risks.

講師

ヴァージニア・ライト 氏

米国アイダホ国立研究所
エネルギーサイバーポートフォリオプログラムマネージャー

Virginia "Ginger" Wright は、アイダホ国立研究所の国家・国土安全保障部門内のサイバーコア部門で、エネルギー・サイバーセキュリティ・ポートフォリオ・マネージャーを務めています。
DOE の CyTRICS™ プログラムなど、DOE、DARPA、その他の政府機関の重要インフラのサイバーセキュリティと耐障害性に焦点を当てたプログラムを主導しています。最近の研究分野は、運用技術コンポーネントのサプライチェーン、事故対応、重要インフラのモデリングとシミュレーション、核のサイバーセキュリティなどです。

DXの推進が必要であると言われる昨今、製造業においてはクラウドを用いて制御システム環境のデータを利活用し、生産性の向上や新たな付加価値創出に取り組む事例が見受けられるようになりました。
一方、製造業に対するサイバー攻撃の脅威が増加しており、データ利活用を促進するとともに、セキュリティ対策を実施する必要があります。
本セッションでは、制御システム環境へのクラウド導入に関わるセキュリティ上の課題、セキュリティリスク分析手法、運用課題のご紹介を通じて、クラウド導入の勘所をお伝えします。

講師

田原 淳平 氏

アズビル株式会社
サイバーセキュリティ室
係長

2010年アズビル株式会社（当時、株式会社山武）に入社。
入社後、空気調和設備をはじめ建築設備の制御ソフトウェアのエンジニアリング、製品開発支援に従事。
2022年IPA中核人材育成プログラム修了後、自社商品（製品・サービス）や社内システムのサイバーセキュリティに関する制度・施策の企画・推進業務に従事。

古澤 大樹 氏

三菱ケミカル株式会社
インフォメーションシステム＆テクノロジー本部
インフラサービス部

2010年に株式会社菱化システム(現三菱ケミカルシステム株式会社)に入社後、情報システムの運営管理に従事。
2022年に中核人材育成プログラムを修了後、情報システムセキュリティの企画・運営に従事。

中山 健太 氏

日本電気株式会社
サイバーセキュリティ事業統括部
営業推進

2019年日本電気株式会社入社後、製造業、金融業向けのサイバーセキュリティ提案に従事。
2022年IPA中核人材育成プログラム修了後、製造業の工場向けアセスメントやサイバーセキュリティ提案にも従事。名古屋工業大学ものづくりDX研究所にプロジェクト研究員としても参画。

黒木 隆一 氏

NTTコミュニケーションズ株式会社
ソリューションサービス部
第一マネージドソリューション部門
第五グループ

2018年NTTコミュニケーションズ株式会社に入社。3年間公共顧客向けITシステムの保守運用マネジメント業務に従事。
2022年IPA中核人材育成プログラム修了。セキュリティを含めた顧客向けシステムの提案〜運用までワンストップで従事。

昨今のサイバー攻撃の現状やサイバーセキュリティ規制の高まりから、製品・システムのセキュリティの確保と、サプライチェーン全体での取り組みの必要性が加速しています。本セッションでは、重要インフラのサイバーレジリエンスを高めるために必要となるセキュリティ対策と、アプローチ方法をご説明します。また、制御システムのセキュリティに関する東芝の実践的な取り組みについてご紹介します。

講師

岡田 光司 氏

株式会社東芝
サイバーセキュリティ技術センター
ゼネラルマネジャー

東芝デジタルソリューションズ株式会社
セキュリティ技師長

小郷 育広 氏

東芝デジタルソリューションズ株式会社
制御セキュリティ事業推進部
部長

Recorded Futureでは、サイバーや地政学、情報操作の観点で様々なソースに基づいて調査・分析をしています。
本セッションでは、ウクライナや台湾、インドなどを標的とした国家関与による政治・軍事目的での諜報活動や重要インフラ破壊などのサイバー攻撃、ランサムウェアによる重要インフラ攻撃など脅威活動の実例と今後の展望、推奨される対策について議論します。

講師

クリストファー・ライアン 氏

Recorded Future, Inc.
Threat Intelligence Research, Insikt Group
Threat Intelligence Analyst

日々高度化の進むサイバー攻撃により、重要インフラを含むあらゆる産業で事業停止を伴う被害が頻発しています。
初期侵入から攻撃完了まで４時間を切る被害事例もあり、従来の対策や監視体制について、効果の再確認が急務とされています。
本セッションでは、攻撃の即時検知、即時処置を実現するソリューションと有事の際のIRサービス、それらを含めた体制、態勢の構築支援について、ご紹介させて頂きます。

講師

遠藤 肇 氏

サイバーリーズン合同会社
SE本部エンタープライズ1部
部長

近年拡大するサイバー・フィジカル・システムを構成するXIoT(IoT/IIoT/IoMT/OT)デバイスの脆弱性の発見数は、2021の下半期と比較しで57%増加しており、これらのデバイスを起点とした攻撃の機会が多くなっています。
増え続けるXIoTデバイスを保護し、サイバーレジリエンスを達成するために必要な要件と、達成に向けた道のりをグローバル・国内の動向を交えながら解説します。

講師

加藤 俊介 氏

Claroty Ltd.
APJ Sales
Solution Engineer

OTサイバーセキュリティのリスクアセスメントの実施は年々不可欠になってきています。 リスクアセスメントを実施する理由は様々で、規制上の要件であったり、社内での投資の正当化であったり、単にオペレーショナルリスクをより良く理解するためであったりします。 しかし、多忙な業務環境の中で、リスクアセスメントを実施できるスキルを持った人材を見つけることは、非常に困難なことです。
本講演では、IEC 62443-3-2 Methodologyに従って効果的なOTサイバーセキュリティリスクアセスメントを準備、実施、報告する方法についてのベストプラクティスやリスクアセスメント完了後変化についての事例を交えてご紹介します。

How to Perform and Effective OT Cyber Security Risk Assessments
Abstract: Being able to perform OT Cyber Security Risk Assessments is becoming more essential with each passing year. Drivers to perform a risk assessment vary, it might be a regulatory requirement, internal justification for investment or simply to better understand your operational risk. Finding skilled resources to be able to perform a risk assessment and running one in your busy operational environment can be extremely challenging. This presentation will explore how to prepare, execute and report out an effective OT Cyber Security Risk Assessment following the IEC 62443-3-2 Methodology; best practices and examples will be provided from completed risk assessments.

講師

ポール・ピオトロフスキ 氏

Paul Piotrowski は現在、シェルのグローバル PCD インテグリティ組織（プロセス制御領域）のオートメーション・エンジニアです。グローバルな資本プロジェクトに関するコンサルティングを行い、シェルが運営する資産と非運営資産をすべてのビジネスユニットにわたってサポートしています。ネットワーク運用、リスクガバナンスとコンプライアンス、監査、インシデント管理、フォレンジック、ペンテスト、プロジェクト管理など、さまざまなセキュリティの職務に16年以上携わっています。シェル社のために広範囲に出張し、多様な文化や風景の中で仕事をする機会を得たことで、彼の世界観が形成されました。

Paul Piotrowski is currently an Automation Engineer in Shell's Global PCD Integrity Organization (Process Control Domain). Paul consults on Global Capital Projects and supports Shell Operated and Non-Operated Assets across all business units. Paul has spent over 16 years in Shell in various security roles including network operations, risk governance and compliance, audit, incident management, forensics, pen testing and project management. He has traveled extensively for Shell allowing him the opportunity to work across diverse set of cultures and landscapes which have shaped his view of the world.

豊田自動織機の工場セキュリティ対策の取り組みとして組織体制やガイドライン整備などの全体像と対策の１つであるカードゲームを用いた机上訓練の企画から実施までの歩みを事例としてご紹介します。
現場作業者の初動対応確立やコミュニケーションについて課題や悩みを抱えている方の参考となるような情報をお届けできればと思います。

講師

湯浅 琢麻 氏

株式会社豊田自動織機
ITデジタル推進部
サイバーセキュリティ室
対策高度化グループ
主任

2015年～ 豊田自動織機に入社
2016年～ 豊田ハイシステム(現豊田自動織機ITソリューションズ)へ出向　社内ネットワークの構築・運用業務に従事
2019年7月～　豊田自動織機に帰任、IPA ICSCoE 中核人材育成プログラムに派遣
2020年7月～　現職

経営者は工場・プラントの制御システムのセキュリティリスクを把握し、許容できるレベルまでリスクを低減することが社会的責任として求められている。本セッションは、Control System Cyber Security Association International とKPMGの最新レポートから、海外のベストプラクティスを紹介し、リスク低減のために日本企業が取り組むべきセキュリティ対策を解説する。

講師

保坂 範和 氏

KPMGコンサルティング株式会社
Technology Risk Services
ディレクター

グローバルのサイバー事情を見渡すと、重要インフラへの偵察や攻撃があからさまに散見される世の中となりました。外部との接続が避けられない昨今のOT環境では、今まで以上のセキュリティ対策が求められています。そのような現況で「明日からOTセキュリティを担当(強化)して下さい」と言われたら、あなたならどうしますか？　本セッションでは、フォーカスすべき点やツールの採用などについて、実際のお客様の声を反映しながら解説いたします。

講師

宮嵜 洋志 氏

テナブルネットワークセキュリティジャパン
ビジネスディベロップメントマネージャー

世界規模の安全保障環境の変化から国家がより積極的にビジネスに関与するようになってきました。我が国においても今年5月に経済安全保障促進法が成立するなど安全保障上の必要性から国家が重要インフラ・基幹インフラの防護に関与を強める傾向が見受けられます。今セッションでは、重要インフラ防護に必要なセキュリティについて考察します。

講師

仲間 力 氏

Splunk Services Japan合同会社
公共政策部
公共政策統括部長

スマートファクトリー、OT環境のDX化、IoTの導入等、IT/OTコンバージェンスが進む中、目的に沿った様々なセキュリティソリューションが出てきています。今後も新たな脅威からの攻撃に備えたソリューションの展開が予想される中、事業継続を支えながらセキュリティ基盤を増強、拡大を守る、キーサイトのセキュリティソリューションとトラフィックの可視化ソリューションをユースケースを交えながら紹介いたします。

講師

松本 修一 氏

キーサイト・テクノロジー株式会社
コミュニケーションソリューション営業本部
ネットワークエンジニアリング部

事業被害をもとにした演習と脅威ベースの演習の2種類を紹介していきます。

講師

青山 友美

コンファレンス実行委員
IPA ICSCoE 専門委員
名古屋工業大学 社会工学専攻 研究員

グローバルにビジネスを展開する製造業にとって、工場を含む海外拠点のサイバーセキュリティ管理は大きな課題となっている。

各国で進む規制や現地の文化・事情などから、画一的な対応が難しい。本講演では、三菱電機の海外拠点のネットワークインフラにおいて、サイバーセキュリティ対策を刷新した際の考え方と、海外展開におけるポイントについても紹介する。

講師

齊藤 正人 氏

三菱電機株式会社
情報セキュリティ統括室 セキュリティ技術部
海外セキュリティG グループマネージャー

2002年 日本の総合電機メーカー入社、コーポレートIT部門としてインフラエンジニア(ネットワークセキュリティ、サーバ、ミドルウェア)として従事
2014年 三菱電機入社、当社のグローバルネットワーク刷新、国内網のSD-WAN刷新、データセンター再構築、中国セキュリティ強化などを従事
2022年 情報セキュリティ統括室 海外セキュリティグループマネージャーとして、海外セキュリティの企画・設計を統括