その対策が脅威に……OTセキュリティで今起きている怖いことビジネスリスクを見据えたOTセキュリティ対策とガイドライン活用のススメ(3)(1/4 ページ)

製造現場でサイバー攻撃の脅威が高まり、各種の関連製品、サービスが生まれている。その中で、新たな課題が見え隠れしているという。今回は、それらの課題を巡るOTセキュリティの専門家による対談をお送りする。

» 2025年03月28日 07時00分 公開
[長沢正博MONOist]

 IoT(モノのインターネット)機器の導入やクラウドサービスの活用など、工場のスマート化が進んでいる。一方で、従来閉ざされていた工場内のネットワークが外部とつながる機会が増えることで、製造現場がサイバー攻撃にさらされるリスクが高まっている。

 OT(運用技術)領域におけるセキュリティの重要性が増し、各種の関連製品、サービスも生まれているが、その中で新たな課題が見え隠れしているという。

 連載「ビジネスリスクを見据えたOTセキュリティ対策とガイドライン活用のススメ」では、OTセキュリティを巡る落とし穴や政府のガイドラインに基づいたポイントなどを紹介してきた。今回は、OTセキュリティの専門家であるフォーティネットジャパンの藤原健太氏と佐々木弘志氏による対談による対談をお送りする。

⇒連載「ビジネスリスクを見据えたOTセキュリティ対策とガイドライン活用のススメ」のバックナンバーはこちら

対策が目的になると”本当の目的”にたどり着かない

藤原 OTセキュリティの支援をしていて感じるのが、本当の目的を見失ってしまっているケースが意外と多いということだ。

佐々木 これは本当に“あるある”な話であり、ほぼ全てのケースでそうなってしまっているといっても過言ではない。本当の目的ではない目的で対策をしてしまうことが余りにも多い。つまり、対策をすること自体が目的になってしまっている。

 分かりやすい失敗例を示そう。社内のIT部門が何かしらのガイドラインを作ったとする。ガバナンスを効かせるために、OT環境にもIT側と同じような対策を当てはめようとするが、OT環境には古い端末が幾つもあり、ネットワーク環境もIT側と全く異なる。

 それなのに、製造現場にあるOSがWindows 7またはWindows XPの端末に対して、IT部門からは「新しい端末に更新してください」といった指示が一律で来て、具体的にそれがどんなビジネスリスクに結びついているかを考えずに、サイバーセキュリティの対策に取り組んでいる。

 本来なら、端末がプラントのDCS(Distributed Control System)とつながっていて、乗っ取られると最悪の場合はプラントが暴走してしまうリスクがある時と、私たちが通常使用しているOAネットワークに接続するPC類とでは、被害の大きさ(OTリスク)が異なるため、必要な対策も違ってくる可能性がある。

 対策をすること自体が目的になってしまうと、そういった異なるリスクを考慮せずに、とても不均一でリスクにあまり対応していない対策が導入されてしまう。

 製造現場の方たちは業務に注力されているため、指示された内容に専従しがちで、それらが本当にビジネスリスクの低減につながっているのか、事業継続とどのように関係しているかまで、配慮が及ばないことが多い。

藤原 ”対策をして終わり”となっていて、それが本当の目的にたどり着いていない、ということだ。

 極端な話をすると、マルウェアへの脆弱性そのものは、工場にとっては大事な話ではない。もちろん、それがきっかけで大きな被害が生まれるというのは間違いないが、それ自身がどのように生産活動に影響を与えるかどうかを見ることが大事だ。

 本当に起きてほしくないことにひも付けて対策をできるかどうかが、工場をサイバー攻撃から守ることに直結する。

製造業におけるビジネスリスク 製造業におけるビジネスリスク 出所:フォーティネットジャパン

佐々木 そもそもセキュリティ対策以前に、本来やるべきことというのは、ビジネスリスクの低減のはず。ITやOTのセキュリティ対策もその一環だ。

 IT領域なら標的型攻撃による情報漏えいや、ランサムウェア感染による事業停止などがビジネスリスクとなる。

 OT領域とIT領域の最大の違いは、OT領域はフィジカル空間と接続しているということだ。そのため実際のビジネスリスクはIT領域と異なってくる。ただ、IT領域の人は普段、そこにいないから、OT領域のことがなかなか分からない。OT領域の人は、サイバーに関する点が抜けているだけで、普段から安全などのリスク低減に懸命に取り組んでいる。

 OTセキュリティもリスク低減の取り組みなのだから、どんなビジネスリスクがあるのかを考えることからスタートして、それをどうやって低減していくのかを1個1個考えていくアプローチが必要となる。

藤原 われわれも日々の活動で“これしか言っていない”というくらい大事な点だ。今の話を製造現場の人に伝えると、すごく納得してくれる。なぜかというと、彼らは普段から日々のリスク低減を意識している人たちだからだ。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.