工場のOTエリアにセキュリティスイッチを導入 ～端末に近いところで守る～

製造業、とりわけ工場内のOT（Operational Technology）ネットワークにおいて、外部からの侵入やランサムウェア被害が増加しており、既存の境界型防御だけでは不十分という課題があります。
そんな中、アナログ半導体専業メーカーのエイブリック社は、工場設備・制御系端末という“ウイルス対策ソフトを入れられない環境”を前提に、ネットワークスイッチにセキュリティ機能を内蔵したセキュリティスイッチ「TiFRONT」を導入。端末に極めて近いところで通信の挙動を監視・遮断することで、スマートファクトリー化の進展とともに増えるセキュリティリスクに備えた取り組みを実践しています。
本事例では、なぜこの方式を採用したのか、どのように運用を変えてきたのか、またその成果はどうだったのかを整理します。

• 製造業・工場におけるサイバー攻撃のリスク増加：例えば、警察庁の報告によると、製造業がランサムウェア被害の件数で最も多く、業種・企業規模を問わず被害が及んでいる。
• 工場OT環境では、制御端末などにウイルス対策ソフトをインストールすることが難しい。理由として、「ネットワーク分離されており、パターンファイルの更新ができない」「端末を停止できない」「安定稼働が求められ、追加機器導入に慎重」などが挙げられる。
• 従来の“境界型防御”（ファイアウォール／DMZなど）だけでは、もし工場内ネットワークに侵入された場合、制御系機器や端末間での横展開（ラテラルムーブメント）を防ぎきれないリスクがあると認識されていた。
• 製造ラインに新たなセキュリティ装置を導入する際には、「既存ラインの安定稼働を維持する」という制約も大きく、導入ハードルが高い。

• 製品導入：TiFRONT（“セキュリティスイッチ”）を2015年から導入。工場のネットワークスイッチ（L2スイッチ）をTiFRONTに交換することで、端末に最も近いところで通信の“挙動”を監視・遮断する仕組みを構築。
• 選定理由：①工場用制御系端末にウイルス対策ソフトを入れられないという前提に、端末近傍のネットワークスイッチに検知・遮断機能を持たせるという発想が合致。　②従来ソリューション（制御系エンドポイント対策）と比べてコスト面で導入しやすかった。　③日本国内でのサポート力が高く、実運用段階で安心できたこと。
• 運用プロセス：
  • 工場の“島ハブ”と呼ばれるネットワークスイッチ部分をTiFRONTに交換。
  • TiFRONTは、ネットワーク通信のパケットの振る舞いを監視し、正常な作業通信を“通す”一方で、既知・未知の攻撃通信（偵察・拡散通信など）を検知して遮断。
  • クラウドベースの管理コンソールを導入し、GUI画面で通信状況を可視化。リプレース時には約130〜140台のTiFRONTが稼働中。
  • 運用にあたっては、既存のファイアウォールなど境界防御と併用しながら、OTネットワークにも“端末近傍防御”を追加。

• サイバー攻撃のリスクを回避：ITインフラチームは「逆に、本当に検知すべきものが漏れているのではと不安になるほど。疑似攻撃ツールを使って確認を行ったところ、しっかり検知できていた」と述べています。
• 運用規模：リプレース時点で、拠点全体で130〜140台規模のTiFRONTが稼働。クラウド管理へ移行するなど、運用の近代化も進んでいます。
• コスト面：工場用端末にエンドポイントセキュリティを入れることが困難でコスト高となる中、TiFRONTをネットワークスイッチ段階で導入することで、比較的低コストにセキュリティ強化を実現できたと評価されています。
• 製造ラインとの適合性：TiFRONT導入によって、「生産ラインに新たなセキュリティ装置を入れるハードルが低くなった」「既存の通信を大きく変更せず、運用に支障をきたしにくい構成が可能だった」とのコメントを頂いております。

製造業の工場、特にOTネットワークにおいては「端末にウイルス対策ソフトを入れられない」「ネットワーク分離され更新できない」という構造的な制約があり、従来の境界型防御だけでは十分なセキュリティを確保できない実態があります。エイブリック社が選択したように、ネットワークスイッチ段階、つまり“端末に最も近いところ”で通信の挙動を監視・遮断する「セキュリティスイッチ」方式は、製造ラインの安定稼働を妨げずに、低コストかつ現実的に導入可能な選択肢となり得ます。また、導入先が「大きなインシデントなし」「運用監視も実効的」という成果を示しており、同様の環境にある製造業にとって有力な参考になりそうです。読者の皆さまには、「境界だけでなく、端末近傍のネットワーク」という視点をセキュリティ戦略に加えることを提案します。