JPCERT/CC Eyes

JPCERT/CCは、2026年2月10日に制御システムセキュリティカンファレンス2026を開催いたしました。本カンファレンスは、国内外の制御システムにおける脅威の現状や制御システムセキュリティのステークホルダーによる取り組みを共有し、参加者の制御システムセキュリティ対策の向上やベストプラクティス確立の一助となることを目的に開催しています。2009年以来、毎年開催し、今年で18回目を迎えました。

今回は会場のみで実施し、137名（参加申込数216名）の方々に参加いただきました。JPCERT/CC Eyesでは、開会・閉会のごあいさつおよび6つの講演について紹介いたします。なお、パネルセッション以外の講演はYouTubeで配信しています。文中にリンクを張っていますのであわせてご覧ください。

開会ごあいさつ

経済産業省 商務情報政策局 サイバーセキュリティ課 企画官　橋本 勝国 氏
講演資料
YouTube

経済産業省 商務情報政策局 サイバーセキュリティ課 企画官 橋本氏から開会のごあいさつをいただきました。

橋本氏からは、IPA「情報セキュリティ10大脅威2026」等を踏まえ、ランサムウェア攻撃が依然として大きな脅威であり、特に製造業を中心に被害が拡大している現状が示されました。

あわせて、サプライチェーン全体での対策の底上げを図るSCS評価制度の構築や、半導体デバイス工場におけるOTセキュリティガイドラインの策定、JC-STARの開始と政府調達要件化の動き、SBOM国際共同ガイダンスへの署名など、わが国の政策の最新動向が紹介されました。

さらに、サイバー対処能力強化法の成立を踏まえ、官民が連携した能動的サイバー防御体制の整備を進め、産業基盤と国民生活を守り抜く必要性を強調し、社会全体で実効性ある取り組みを着実に推進していくことが重要であると締めくくりました。

制御システムセキュリティの現在と展望～この1年間を振り返って～

講演者：
一般社団法人JPCERTコーディネーションセンター 技術顧問 宮地 利雄
講演資料
YouTube

本講演では、2025年の制御システム（ICS）セキュリティに関する状況を振り返り、主な動向や変化について解説しました。冒頭では、Stuxnet発見から15年、ウクライナ停電から10年が経過した節目にあたることを指摘し、ICSとITの連携が一層進む中で、地政学的緊張の高まりがサイバー空間にも影響を及ぼしている概況を俯瞰しました。

インシデントに注目すると、この1年もランサムウェア攻撃は高止まりの状況が続き、特に製造業を中心に操業停止や出荷遅延など深刻な影響が生じています。英国の自動車メーカーや国内大手企業の事例を取り上げ、IT領域への侵害であっても結果としてOTや生産活動に重大な影響が及ぶ構造的リスクを示しました。また、国家支援型攻撃やハクティビストによる重要インフラへの攻撃、再生可能エネルギー設備やダム、水力発電所などを標的とした事例を通じ、物理的影響を伴うサイバー攻撃の現実味が増しています。

脆弱性の動向としては、CISAが公表するICS関連アドバイザリ件数の増加や、インターネットに露出したICS/OT機器の拡大が報告されていることを紹介しました。さらに、CVEプログラムの運営を巡る混乱や、欧州における新たな脆弱性データベース構想など、グローバルな脆弱性情報管理の在り方が転換期を迎えていることにも触れました。

加えて、EUのNIS2指令やIEC 62443シリーズの改訂、米国におけるCIRCIAの動向など、規制・標準の整備が進む一方で、各国の政策の進展や米国政府のCISAの体制面の揺らぎがICSセキュリティに影響を及ぼしている状況を整理しました。さらに、AIの急速な進展やポスト量子暗号への移行といった新技術に伴う課題にも目を向け、長寿命なICS環境における備えの重要性を提起しました。

全体として、表面的には大規模な破壊的攻撃が頻発した年ではなかったものの、ランサムウェアの裾野拡大、国家間対立の激化が及ぼすセキュリティへの影響、標準・制度の再編、新技術への対応など、次の時代を予感させる変化が着実に進行していることを一覧して、この1年間のICSセキュリティの動向を総括しました。

工場が昔からやっていた『備え』に学ぶ、制御システムインシデント対応

講演者：
Claroty Ltd.
APJ Sales／Senior Solution Engineer　加藤 俊介 氏
講演資料
YouTube

加藤氏の講演では、近年のOTセキュリティ関連インシデントを振り返りつつ、工場が昔から培ってきた「備え」の考え方をサイバーインシデント対応にどう活かせるかについて解説いただきました。

インシデントの約8割はIT起因の“間接的なOT停止”であり、制御そのものが破壊されなくても、依存する上位ITシステムの停止によって操業が止まる実態が示されました。

その上で、設計・実装・運用の各段階における本質的安全設計や冗長化、フェイルセーフといった思想がサイバー攻撃に対しても有効に機能し得ることを、TRITON事案などを例に紹介。さらに、福島第一原発事故や海外製造業の事例を通じて、デジタルが失われた状況下でも、紙の記録や五感、手動操作といった“物理的実体”を活用することで事業を継続した具体例が共有されました。

Colonial PipelineやMaerskの事例では、制御システムが無事でも請求・物流などのIT停止によって事業が止まる構造が示され、機能縮退を前提としたオペレーション設計の重要性が強調されました。また、個社を超えた共助・公助による復旧事例にも触れ、有事には競争を超えた連携が鍵となることが示唆されました。

最後に、MVA（最小実行可能アーキテクチャ）、MVP（最小実行可能プロセス）、MVC（最小実行可能統制）という3つの観点から再稼働判断の枠組みを提示し、アナログ継続、デジタル予備復旧、外部活用という選択肢を事前に整理しておくことの重要性を提起。OTを深く理解することこそが、制御システムの実効的なインシデント対応力強化につながるとのメッセージで締めくくられました。

自動車産業におけるデジタルツインのセキュリティ課題と防御手法

講演者：
TXOne Networks Inc.
スレットリサーチ／シニアスレットリサーチャー　遠山 千鶴 氏
講演資料
YouTube

遠山氏の講演では、自動車産業におけるデジタルツインの活用拡大を背景に、そのセキュリティ課題と具体的な防御手法について体系的に解説いただきました。まず、デジタルツインの定義や標準の整理から始まり、現実世界の製品・設備・プロセスを仮想空間で再現し、シミュレーションや監視、最適化に活用する概念であることを確認。その上で、自動車業界がCASE（Connected、Autonomous、Shared、Electric）という「100年に一度の大変革期」にある中、開発・生産・運用の高度化を支える基盤技術としてデジタルツインが重要な役割を担っていることが示されました。

具体的な活用事例としては、トヨタによる工場内センサー最適化、HondaのV2G/V1G戦略を見据えたエネルギー管理、Hyundaiのスマート工場などが紹介され、品質向上やコスト削減、柔軟な生産体制の実現といったメリットが共有されました。一方で、物理と仮想を双方向で接続するアーキテクチャは攻撃面の拡大につながると指摘。ネットワーク偵察、データインジェクション、遅延攻撃、モデル改ざんといった想定攻撃シナリオが整理され、誤制御や生産停止、知的財産流出といった高リスクへの波及可能性が示されました。

さらに、ロール別の防御策やその限界、インシデント対応プレイブックの整備、ライフサイクル全体（開発～運用）を通じたセキュリティ設計の重要性が強調されました。Secure-by-Designの徹底と継続的監視、SOCとの連携を含む多層防御が、デジタルツイン時代の自動車産業における持続的な安全・安心の鍵であるとのメッセージが示されました。

サイバー攻撃に対応した安全・セキュリティ統合設計の推進

講演者：
合同会社 Forehacks 代表社員／
名古屋工業大学 ものづくり DX 研究所客員研究員　佐々木 泰斗 氏
講演資料
YouTube

佐々木氏の講演では、サイバー攻撃の高度化と規制強化を背景に、制御システムにおける「安全（Safety）」と「セキュリティ（Security）」を分断せず、ライフサイクル全体で統合的に設計・管理するアプローチが提案されました。脆弱性件数の増加やEUサイバーレジリエンス法（CRA）への対応など、開発から運用・保守まで一貫した管理が求められる中で、従来のサイロ化した組織体制や断絶したドキュメント管理では限界があることが指摘されました。

その解決策として示されたのが、DFD（Data Flow Diagram）を共通の構造モデルとし、Safety要件・Security要件・SBOMを「同じ台帳」に束ねて管理する枠組みです。DFDをJSON化し、node_idやdataflow_idを索引として設計意図、解析結果、テスト要件、意思決定履歴、SBOM情報を紐づけることで、Single Source of Truth（SSOT）を実現。さらにMANIFESTファイルによってプロジェクト全体の状態や履歴を管理し、トレーサビリティーを確保する仕組みが紹介されました。

自動運転車いすの開発事例では、セーフティ解析（HARA）とセキュリティ解析（TARA）を同一モデル上で実施し、センサー故障への対策とスプーフィング攻撃対策を整合的に設計する様子が示されました。また、実装段階では設計に存在しない“ゴーストフロー”を生成AIが検知し、設計JSONとの差分評価によって是正を促す監査プロセスも紹介されました。運用段階ではSBOMとCVE情報を連携させ、脆弱性の影響範囲をID単位で追跡し、リスク受容や対処方針の判断根拠を記録する重要性が強調されました。

講演を通じて、DFDを軸に構造を整理し、生成AIを知能として組み込むことで、人が根拠を持って意思決定できる統合設計基盤を構築することが、今後の制御システムにおける安全・セキュリティ確保の鍵であるとのメッセージが示されました。

欧州法規制等の法的対応で関心が高まる脆弱性情報およびCVD関連の活動に関する国際動向

講演者：
一般社団法人JPCERTコーディネーションセンター
国際部 Global CVD Project Lead　伊藤 智貴
講演資料
YouTube

本講演では、欧州法規制の進展を背景に関心が高まる脆弱性対応について、CVD（Coordinated Vulnerability Disclosure）、CVE、SBOMを軸とした国際動向と課題、そして関係者に求められる対応が整理されました。脆弱性情報は技術的正確性だけでなく、情報の受け付け・調整・公表といった運用面も含めて適切に管理されなければ、ゼロデイ悪用や対応遅延といった新たなリスクを生みます。そのため、レポーター、ベンダー、ユーザー、コーディネーター等が連携するCVDの重要性が強調されました。

CVEプログラムでは、CNAやRootの拡大、NVDを巡る混乱など最近の状況が共有され、データ品質やエンリッチメント、適切なハンドリングの必要性が指摘されました。JPCERT/CCがCNAおよびRootとして国内組織を支援していることも紹介されました。また、SBOMについては「透明化」のための手段として、部品把握とCVE突き合わせによる脆弱性管理の基盤となること、識別子の統一やカバレッジ、ツールの相違といった国際的課題が議論されている現状が示されました。

さらに、EU Cyber Resilience Act（CRA）やNIS2指令により、脆弱性公表ポリシー整備、悪用脆弱性の24時間以内報告、SBOM準備などが求められることが解説され、EU域外の企業にも影響が及ぶ可能性が示唆されました。こうした動向を踏まえ、ベンダーには脆弱性対応体制や公表ポリシー整備、サプライチェーン把握、CVE付与の検討を、ユーザーには資産把握やSBOM活用、優先度付け手法（SSVC、EPSS等）の導入を呼びかけました。国や立場を超えて、バランスの取れた形で脆弱性情報が流通・活用されるエコシステムをともに築くことの重要性が強調されました。

パネルセッション：脆弱性対応のための適切な資産管理手法へのチャレンジ ～製造業の複数業種によるトライアル評価編～

講演&パネラー：
日本精工株式会社 デジタル変革本部 ITガバナンス部／グループマネジャー　田中 哲也 氏
参天製薬株式会社 Digital＆IT本部／Cybersecurity Architecture & Solutions Senior Manager　正木 文統 氏
パナソニック オートモーティブシステムズ株式会社 開発本部 プラットフォーム開発センター セキュリティ開発部／係長　越智 直紀 氏

講演&ファシリテーター：
一般社団法人JPCERTコーディネーションセンター
国内コーディネーショングループ 制御システムセキュリティ シニアアナリスト 河野 一之

パネルセッションは会場限定で実施したため、動画配信および資料公開の予定はございません。ブログでのご紹介も差し控えます。

なお、パネルセッションのテーマで取り上げた「脆弱性対応のための適切な資産管理手法」に関心をお持ちの製造業における制御システムのセキュリティ担当者は、「ICSセキュリティ担当者コミュニティー」への参加もぜひご検討ください。参加をご希望の方は次のお問い合わせ先（制御システムセキュリティ担当）までご連絡ください。

お問い合わせ先：
国内コーディネーショングループ（制御システムセキュリティ担当）
Email：info-coa@jpcert.or.jp

閉会あいさつ

一般社団法人JPCERTコーディネーションセンター 理事 椎木 孝斉

閉会あいさつはJPCERT/CC理事の椎木が行いました。

本カンファレンスが2009年の第1回開催から18回目を迎えたことに触れ、今回は会場開催と一部講演のアーカイブ配信という形式で実施したこと、運営の多くをJPCERT/CCが担ったことを報告しました。

また、「サイバーセキュリティ」という言葉の広がりとともに、その対象はITやネットワークにとどまらず、事業の中核を成す制御システムを含む“事業そのもの”へと拡張しているとの考えを示しました。

環境変化の中で課題に向き合う実務者にとって、本カンファレンスやJPCERT/CCの活動を実験場として活用して欲しいと呼びかけ、改めて講演者および全参加者に対する謝意を表して締めくくりとしました。

おわりに

今回の制御システムセキュリティカンファレンスでは、制御システムセキュリティを取り巻く状況について、制御システムベンダー、大学付属研究所の客員研究員、ユーザー企業などさまざまな立場からご講演いただきました。本カンファレンスが、制御システムに関わる聴講者の皆さまにとって今後の活動の参考となれば幸いです。今後も開催内容を改善しつつ、国内の制御システムセキュリティの向上に資する情報の発信や知見の共有に努めて参ります。

ここまで制御システムセキュリティカンファレンス2026の開催レポートをお読みいただき、ありがとうございました。

次回の開催もご期待ください。

国内コーディネーショングループ 織戸 由美