2010年頃までに開発された制御コントローラには、古典制御から始まり、PID制御や適応制御などを仕様に加えてきた歴史があります。これらの制御コントローラ製品には、サイバーセキュリティ対策やサイバーレジリエンス対応の要求仕様はなく、物理的な安全対策である機能安全や機械安全対応の要件までとなっておりました。
ところが現在は、2010年のStuxnetが登場したことでサイバーセキュリティ対策が必要と考え、IEC62443-3-3のシステム要件を基盤として、IEC62443-4-2の製品要件までの国際規格が整備され、さらにEUのサイバーレジリエンスCRA法や機械規則MRや産業用IoT無線機器規格などが整備され米国でもCIRCIA及び大統領令が執行されております。インドにおいてもCERT-in法も整備されております。これに対応する制御コントローラ製品を開発することが求められております。
これらを振り返ることから、今、制御コントローラ製品開発の新しい時代へ入ったと考えてみましょう。
制御コントローラの歴史は、18世紀の蒸気機関の制御という極めて「物理的」な仕組みから始まり、数学的な理論の確立を経て、1970年代のデジタル革命へと繋がっていきます。
その道のりを大きく4つのフェーズに分けて解説します。
1. 黎明期:機械式フィードバックの誕生(18世紀後半〜19世紀)
制御理論の原点は、産業革命を支えたジェームズ・ワットの「遠心ガバナ」(1788年)にあります。
- 仕組み:
蒸気機関の回転速度が上がると、遠心力で重りが開き、連動したバルブが閉じて蒸気量を減らすという、純粋に機械的な負帰還(ネガティブ・フィードバック)構造でした。 - 課題:
当時は「なぜうまく動くのか」「なぜ時々振動して不安定になるのか」という理論的な根拠がなく、経験則に頼っていました。
2. 古典制御理論の形成:数学による体系化(1860年代〜1940年代)
「制御」が学問として確立された時期です。
- 理論の始まり:
1868年、物理学者ジェームズ・クラーク・マクスウェルが論文「On Governors」を発表しました。彼はガバナの動きを微分方程式で記述し、システムの「安定性」を数学的に証明しようと試みました。これが現代制御理論の出発点とされています。 - PID制御の誕生:
1922年、ニコラス・ミノルスキーが船の自動操舵の研究から、現代でも主流のPID制御(比例・積分・微分制御)の基礎理論を確立しました。 - 通信と制御の融合:
1930年代、ベル研究所のハリー・ナイキストやヘンドリック・ボードらが、電話回線の増幅器の安定性を評価するための手法(ナイキスト線図など)を開発。これにより、周波数応答に基づいた設計が可能になりました。
3. アナログコントローラの全盛(1940年代〜1960年代)
第二次世界大戦を境に、制御技術は軍事(レーダーやミサイル)から産業へと急速に普及しました。
- 空気式・油圧式:
初期の産業用コントローラは、電気ではなく「空気圧」を使ってPID演算を行っていました。 - アナログ電子式:
1950年代には真空管やトランジスタを用いたアナログ電子式コントローラが登場します。電圧や電流の大きさをそのまま制御信号として扱う、まさに「アナログ」な時代でした。
4. デジタル革命:DCSとPLCの登場(1960年代末〜1970年代)
コンピュータの小型化・低価格化により、制御の主役がデジタルへと移り変わります。
- PLC(プログラマブルロジックコントローラ)の誕生 (1968年):
それまで巨大なリレー回路(電磁スイッチの塊)で行っていた工場のシーケンス制御を、プログラムで書き換え可能なコンピュータに置き換えた「Modicon 084」が登場しました。 - DCS(分散型制御システム)の登場 (1975年):
日本の横河電機(CENTUM)や米ハネウェル社が、世界に先駆けてデジタル式の分散型制御システムを発表しました。これまでは1つの計器で1つのループを制御していましたが、マイクロプロセッサが複数の制御ループをデジタル演算で一括管理できるようになり、中央監視室から画面越しに大規模プラントを動かす現代のスタイルが完成しました。
まとめ: 変遷のタイムライン
時代主要な技術特徴1788年遠心ガバナ機械的な自動調整の始まり1868年マクスウェルの論文制御の数学的解析の始まり1922年PID制御理論汎用的な制御アルゴリズムの確立1968年PLCの登場リレー回路からソフトウェア制御へ1975年DCSの登場マイクロプロセッサによるデジタル制御製品の普及
現在のデジタルコントローラは、この歴史の上に立ち、さらにAIやIoTと融合して、より高度な最適化を行う段階に入っています。
制御コントローラの核となるPID制御の理論(数学的側面)と、それを動かすハードウェア(PLC/DCS)の具体的な仕組みについて詳しく解説します。
1. PID制御の計算式:3つの要素の役割
PID制御は、目標値(r(t))と現在値(y(t))の差である偏差(e(t) = r(t) - y(t))を解消するために、3つの計算を組み合わせる手法です。
基本となる数式は以下の通りです。
各項の役割を直感的に理解するとこうなります。
項名称役割(直感的なイメージ)P (Proportional)比例項「今」の偏差に比例して操作量を出す。目標に近づける基本の力。I (Integral)積分項「過去」からの偏差を蓄積して出す。わずかに残る誤差(オフセット)を消し去る。D (Derivative)微分項「未来」の動きを予測する。急激な変化にブレーキをかけ、オーバーシュート(行き過ぎ)を防ぐ。
2. デジタル制御コントローラの具体的な仕組み
デジタル式コントローラ(PLCやDCS)は、上記のPID計算を高速で繰り返すコンピュータです。
PLC(プログラマブルロジックコントローラ)
工場の自動化(FA)の主役です。
- 構造:
CPUユニット、入出力(I/O)ユニット、電源ユニットで構成されます。 - 動作(スキャンタイム):
「入力読込 → プログラム実行 → 出力更新」というサイクルを数ミリ秒単位(例:1ms〜10ms)でループします。 - PIDの処理:
デジタルなので、上記の積分や微分は「離散化」して計算されます。例えば、積分は「前回の計算値 + 今回の偏差 × 周期」という足し算で処理されます。
DCS(分散型制御システム)
化学・石油・発電所など、巨大プラントの制御に使われます。
- 構造:
複数の「フィールド制御ステーション(FCS)」と、人間が操作する「人間機械インターフェース(HMI)」が高速ネットワークで結ばれています。 - 特徴:
1つのコンピュータですべてを制御するのではなく、機能ごとにコントローラを分散させています。これにより、一部が故障してもシステム全体が停止しない「高い信頼性(可用性)」を実現しています。
3. デジタル化されたからこそ可能な「セキュリティ機能」
先ほどのセキュリティの話題に関連して、現在のデジタル製品(PLC/DCS)の内部では、以下のような処理が組み込まれ始めています。
- 異常検知(IDS機能):
CPUユニット内で、通常の制御通信(プロトコル)と異なる「不正なパケット」や「異常な書き込み命令」をリアルタイムで監視します。 - 緊急処理(セーフモード):
攻撃を検知した際、システムを全停止させるのではなく、事前に定義された「安全な出力値(フェイルセーフ)」に固定し、物理的な爆発や破損を防ぎます。 - 検知情報通知:
Syslogなどの標準プロトコルを用い、上位のセキュリティ管理システム(SIEM)へ「いつ、どのユニットが、どんな攻撃を受けたか」を即座にアラート送信します。
デジタル式制御コントローラ(PLCやDCSなど)に、今なぜ高度なサイバーセキュリティ機能(検知・緊急処理・通知)が求められているのか。
その背景には、かつての「物理的に孤立した安全なシステム」から、「ITと密接につながったリスクにさらされるシステム」への劇的な変化があります。
1. 「ITとOTの融合」による攻撃ルートの拡大
かつての制御システムは、外部ネットワークから切り離された「クローズド環境」にありました。しかし現在は以下の理由で「外」とつながっています。
- スマート工場・IoT化:
生産効率を上げるため、工場のデータをクラウドや社内ITネットワークとリアルタイムで共有するようになりました。 - リモートメンテナンス:
遠隔地から保守を行うためにインターネット回線を利用することが一般的になりました。 - IT技術の採用:
コントローラのOSにWindowsやLinuxの技術が使われるようになり、ITの世界で猛威を振るうウィルス(ランサムウェアなど)がそのまま制御用機器にも感染するようになりました。
2. 攻撃対象の変化:情報から「物理的破壊」へ
従来のサイバー攻撃は「情報の窃取」が主目的でしたが、制御システムへの攻撃は「物理的な被害」を直結させます。
- 人命と環境へのリスク:
化学プラントや発電所がハッキングされれば、爆発事故や有害物質の流出など、取り返しのつかない事態を招きます。 - サプライチェーンへの打撃:
1つの部品工場が止まるだけで、完成車メーカーなどの巨大なサプライチェーン全体が麻痺し、巨額の経済的損失が発生します。
3. インシデント防御機能が「今」必要な3つの具体的理由
デジタルコントローラそのものに防御・検知機能が必要なのは、以下の現実があるからです。
1 「境界防御」の限界
「ファイアウォールで入り口を固めれば安全」という考え方は過去のものです。USBメモリ経由の感染や、正規のメンテナンス回線を悪用した侵入(サプライチェーン攻撃)は、従来の入り口対策をすり抜けます。そのため、「機器自体が異常を検知する」必要があります。
2 発見の遅れが致命傷になる
制御信号(パケット)のわずかな書き換えは、一見すると通常の運用に見えることがあります。
- 検知機能:
普段と違う通信パターンを即座に見つけます。 - 通知機能:
攻撃を受けていることを瞬時に管理者に伝え、手遅れになる前に対応させます。
3 緊急処理による「可用性」の維持
工場のラインは「止める」のも「再開する」のも多大なコストがかかります。
- 緊急処理機能:
システム全体をいきなりシャットダウンするのではなく、異常な通信だけを遮断したり、安全な設定値に自動で戻したりすることで、被害を最小限に抑えつつ稼働を続ける(可用性の確保)ことが求められます。
まとめ: 安全の定義が変わった
これまでの制御コントローラは「故障しないこと(信頼性)」が最大の安全でした。しかし、デジタル化が進んだ現在は「攻撃されても耐え、すぐ気づき、致命的な事故を防ぐこと(レジリエンス)」が新しい安全の定義となっています。
日本の「横河電機」、日本の「三菱電機」、そしてドイツの「シーメンス」。これら3社は制御業界の巨人ですが、その製品思想(コンセプト)や得意分野には明確な違いがあります。
一言で言えば、「不停止の追求(横河)」「汎用性と使い勝手(三菱)」「トータル統合と標準化(シーメンス)」というカラーの違いがあります。
3社の製品思想・比較表
項目横河電機 (Yokogawa)三菱電機 (Mitsubishi)シーメンス (Siemens)主な製品CENTUM (DCS)MELSEC (PLC)SIMATIC (PLC/DCS)得意な領域石油・化学などのプロセス自動車・電機などの離散全産業(プロセス〜離散)開発思想「止まらないこと」「手軽さと継承」「統合とデジタル化」信頼性の特徴ペア&スペア(CPU二重化)耐環境性、堅牢なハード強固なセキュリティと冗長化エンジニアリング垂直統合(一社完結型)オープン、多様な接続性TIAによる全工程の統合
1. 横河電機:絶対的な「信頼性」と「継続性」
横河の代表作「CENTUM(センタム)」は、世界初の分散型制御システム(DCS)です。
- 「絶対に止めない」思想:
化学プラントなどは一度止まると再稼働に数日〜数週間かかり、巨額の損失が出ます。横河は、2つのCPUで同じ計算を同時に行い、結果を照合する「ペア&スペア」方式を徹底し、故障時も瞬時に切り替える仕組みを持っています。 - 長期の互換性:
30年以上前の古いシステムと最新システムを混在させて動かせるなど、資産を無駄にしない「ライフサイクルへの責任」が非常に強いのが特徴です。
2. 三菱電機:圧倒的な「使いやすさ」と「市場浸透力」
日本の製造業(特に自動車や部品メーカー)のデファクトスタンダードです。
- 「現場主義」の思想:
電気の知識があれば直感的に理解できる「ラダー言語」の使い勝手が非常に優れています。また、コンパクトな小型モデルから大規模ライン向けまでラインナップが豊富です。 - 継承とオープン性:
昔のプログラム資産を新しい機種へ簡単に移行できる「継承」を重視しています。また、他社製センサーやモーターとの接続性(CC-Link等)が非常に高く、柔軟なライン構築が可能です。
3. シーメンス:欧州基準の「標準化」と「DXの先駆者」
世界シェア1位であり、インダストリー4.0(第4次産業革命)を牽引するリーダーです。
- 「TIA(Totally Integrated Automation)」思想:
設計、運用、保守のすべてを一つのソフトウェア環境(TIAポータル)で統合する考え方です。シミュレーション機能が強力で、実機を作る前にデジタル空間で動作確認を行う「デジタルツイン」に強みを持ちます。 - 高度な抽象化:
日本の「ラダー」に対し、シーメンスは「構造化テキスト(ST)」など、コンピュータプログラミングに近い高度な記述を得意とします。大規模で複雑なロジックを効率的に管理する設計思想です。
まとめ: どれを選ぶべきか?
- 横河電機を選ぶのは: 24時間365日、1秒も止められない大規模プラント。
- 三菱電機を選ぶのは: 改造や調整が頻繁に発生する、日本のスピーディな製造ライン。
- シーメンスを選ぶのは: 世界基準の標準化や、DX・シミュレーションを活用した最新鋭の工場。
最新のデジタル式制御コントローラ(PLCやDCS)において、サイバー攻撃からシステムを守るための具体的な「セキュリティ機能」の仕組みを解説します。
近年の製品は、国際標準規格である IEC 62443 に基づき、ハードウェア・ソフトウェアの両面で多層的な防御策を講じています。
1. セキュアブートとハードウェアによる信頼の起点 (Root of Trust)
OSが起動する前の段階から防御が始まります。
- 仕組み:
本体内の専用チップに暗号鍵を保存し、起動時にファームウェアのデジタル署名を検証します。 - 効果:
悪意のあるプログラムに書き換えられたファームウェアが実行されるのを物理的に防ぎます(ルートキット対策)。
2. 認証とアクセス制御 (Authentication & RBAC)
「誰が」「何に対して」操作できるかを厳格に管理します。
- 仕組み:
- ユーザー認証:
パスワードだけでなく、ICカードや証明書を用いた多要素認証(MFA)に対応した製品が増えています。 - ロールベースアクセス制御 (RBAC):
「閲覧のみ可能なオペレーター」や「プログラム変更可能なエンジニア」など、権限を細分化します。
- ユーザー認証:
- 効果:
内部不正や、盗まれたアカウントによる不正なプログラム書き換えを防止します。
3. 通信の暗号化と整合性確認 (Secure Communication)
コントローラとPC、あるいはコントローラ同士の通信を守ります。
- 仕組み:
OPC UA などのセキュリティ機能付きプロトコルを採用し、通信経路を暗号化(TLS/SSL等)します。 - 効果:
ネットワーク上を流れるデータを盗み見る「盗聴」や、データを書き換えて偽の命令を送る「改ざん(中間者攻撃)」を防ぎます。
4. 未使用ポートの閉鎖とプロトコルフィルタリング
攻撃の「入り口」を最小限にします。
- 仕組み:
不要な通信ポートを論理的に閉じるだけでなく、特定のIPアドレスや、特定のコマンド(例:読み取りは許可、書き込みは拒否)以外を通さないフィルタリングをユニット内部で行います。 - 効果:
未知の脆弱性を突いた攻撃(ゼロデイ攻撃)がネットワーク経由で侵入するリスクを低減します。
各社の具体的なアプローチ例
- 横河電機 (CENTUM):
Vnet/IPという独自ネットワークにおいて、通信パケットの正当性を高速に検証する機能を備えています。また、エンドポイント(操作端末)のセキュリティパッチ適用状況を管理するサービスも提供し、システム全体の堅牢性を維持します。 - シーメンス (SIMATIC S7-1500等):
「Security Integrated」というコンセプトを掲げ、各ブロック(プログラム単位)にパスワードをかける「コピープロテクション」や、CPUとエンジニアリングツール間の通信を完全に暗号化する機能を標準で組み込んでいます。 - 三菱電機 (MELSEC iQ-R):
ネットワークユニットにセキュリティ機能を搭載し、許可された機器以外からのアクセスをブロックするIPフィルタリングや、パスワードのハッシュ化による保護を強化しています。
まとめ: 検知・処理・通知の連携
これらの「防御」をすり抜けた攻撃に対して、最新のコントローラは以下の 「レジリエンス(回復力)」 機能を備えています。
- 検知:
通信ログを記録し、普段と違う通信周期やデータ量を検知する。 - 緊急処理:
異常を検知したポートを自動隔離し、制御を継続。 - 通知:
外部のセキュリティ管理システム(SIEM/SOC)へ異常を即座に通報。
このように、現在の制御製品は単なる「計算機」ではなく、「自立した防御壁」としての役割を担うようになっています。
eICSジャーナルの
「制御コントローラの基本理論からデジタル式制御コントローラへそしてサイバーセキュリティ対策機能を持つ制御コントローラへ」
では、さらに、
「サイバー攻撃を受けても、最悪の事態(爆発、火災、人命喪失)だけは物理的に阻止する」という最後の砦、安全計装システム(SIS: Safety Instrumented System)について解説します。
ICS研究所が提唱する「深層多層防御」の考え方は、従来の「境界防御」の限界を超え、制御システム(ICS)の各階層において「機能安全(Safety)」と「サイバーセキュリティ(Security)」を一つの統合されたレジリエンス(回復力)として機能させる点に真髄があります。
さらに、深掘りしていきますと、ICS研究所が提唱する「深層多層防御」の設計思想は、単なる「壁を厚くする」ことではなく、システム全体を一つの堅牢な「構造体」として捉え、攻撃を受けても機能(特に安全機能)を維持し続ける「サイバーレジリエンス」の確立を上げるところに真髄があります。
について解説しております。eICSジャーナルはオンデマンドビデオ講座eICSを受講契約された方が読むことができます。
