PLCの「10年、20年動く」は強みでもあるが、CRA時代では「セキュリティ負債」にもなり得るな。
欧州CRAをざっくり言えば「繋がる製品は最初から安全に作り、売った後も脆弱性対応しろ」というもの。EU向けに装置を出すメーカーやSIerは要注意で、CRAに非適合の製品はCEマーキングが取れなくなる可能性がある。
問題はここからで、
PLCは10年、20年止まらず動くことが価値だった。しかしサイバーセキュリティの世界では、長く動くなら長く守れる設計が必要になる。現場でファームウェア更新は簡単ではない。設備を止められない。再検証が重い。改造履歴すら怪しい装置もある。セキュリティ更新には結構なリスクがつきまとうと思う。
制御屋の範疇が増え、設備全体のライフサイクルを設計できる人が必要になりそう。