安全で生産工程も邪魔しない、OTセキュリティにとって重要なアクティブクエリ：産業制御システムのセキュリティ（1/2 ページ）

パッシブモニタリングの限界を超えて、OTネットワークのセキュリティを強化するにはどうすべきか。答えはアクティブクエリの活用だ。本稿ではアクティブクエリを用いることでOTセキュリティの課題をどのように解決できるかを解説する。

[貴島直也，MONOist]

トラフィック増大はOTネットワークの安全を脅かす？

　セキュリティを万全なものに近づけるには、環境内に存在する資産の完全なインベントリを作成することが極めて重要です。これは「存在を認識できなければ保護することはできない」という単純な事実があるからです。

　一方で、「OTネットワークに対して積極的にトラフィックを増やすことは危険であり、避けるべきである」という考え方も存在します。これが、包括的な資産インベントリ作成の障害となることが少なくありません。

　現実には、ほとんどのセキュリティチームは依然として手作業で情報収集したり、スプレッドシートを使用したりしています。これでは、インベントリデータが完全かつ正確であるかを知る術がありません。加えて、手作業で収集されたデータの正確性は数日間しか担保されず、一時的なものでしかないのです。

　資産インベントリを作成することで、ネットワークトラフィックのパッシブモニタリングが可能になります。これは、手作業よりも大きく優れている利点といえるでしょう。ネットワーク上で通信を行うあらゆる資産を画面に表示できます。一定品質のトラフィックが十分量あれば、「可視化」された資産の識別が、部分的に、または完全に可能です。通信のベースラインが確立されることで、脆弱性とOTデバイスへのコマンドを検出できるようになります。

パッシブモニタリングの限界

　しかし、残念ながら完全な手作業より優れているパッシブモニタリングにも限界があります。パッシブモニタリングが識別できるのは、ネットワークの監視対象セクション上で通信する資産だけです。デバイスタイプを確実に識別するには、特定のトラフィックであるか否かを確認する必要があります。

　ところが、OTネットワークは多くの場合に「定常状態」で動作しますので、トラフィックはそう頻繁には発生しません。このためデバイスの識別が容易ではないのです。ネットワークは場合によっては数カ月間、定常状態にあります。さらに、パッシブモニタリングでは、コードやファームウェアのリビジョンなど、デバイスに関する明示的な詳細情報を得ることができません。

　この点について、OTネットワークとITネットワークを比較してみましょう。ITネットワークでは機器の識別を容易にするパケットが頻繁に発生します。OT環境ではこのようなパケットはシステム設定が変更された場合にのみ発生しますが、これはめったに生じることではありません。

　「ではOTシステムを可視化するにはどうすればいいのか」という疑問が生じることでしょう。解決策は、アクティブクエリです。