“止められない”工場をサイバー攻撃から守るOTセキュリティの現実解：工場サイバーセキュリティ対策

いまや製造現場のOT領域にまで及んでいるサイバー攻撃。しかし、OTセキュリティ対策には、生産を止められない、ネットワーク設定を変えられない、専門人材が限られているといった、ITとは異なる難しさがある。こうした現場特有の制約の中で現実的な解を提示しているのが、TXOne Networksだ。同社の中核製品「Edgeファミリー」は、可視化と防御を包括的に実現し、現場を止めることなくセキュアな環境を構築する。世界の製造業で導入が進むこのソリューションの強みと、実際の導入事例について話を聞いた。

PR／MONOist

PR

　製造現場のデジタル化が進み、ITとOT（制御技術）の融合によって、かつては閉ざされていた工場ネットワークが外部ネットワークと接続されるようになった。生産設備の稼働データをクラウドで分析し、AI（人工知能）による品質予測や予防保全に活用するなど、“つながる工場”は効率化や省人化を支える基盤となりつつある。

　その一方で、これまで隔離されていた工場内のネットワークが情報系システムやインターネットとつながることで、サイバー攻撃のリスクが急速に高まっている。近年では、ランサムウェアが制御端末に侵入し、操業停止に追い込まれる事例も相次いでいる。

　こうした状況を受け、欧州では2024年にCRA（サイバーレジリエンス法案）が成立し、全面施行を2027年に控えている。米国では2024年に国立標準技術研究所（NIST）の「サイバーセキュリティフレームワーク（CSF）」がCSF 2.0として10年ぶりに大幅に改定された。日本でも経済産業省によって「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を整備されるなど、グローバルで法規制の強化が進んでいる。

TXOne Networks Japanの縣氏 提供：TXOne Networks

　ただ、これらの動きについて「欧米と日本では温度差がある」と語るのは、OTセキュリティを専門に手掛けるTXOne Networks Japan マーケティング本部 プロダクトマーケティングマネージャーの縣泰弘氏だ。

　「欧米では、サイバーセキュリティを経営リスクや企業統治の一環として捉えており、問題が発生すれば、経営者は株主から厳しく責任を追及されます。そのため、サイバーセキュリティ対策は“やらざるを得ない経営課題”として位置付けられています。一方、日本ではその責任の所在が曖昧で、問題が発生しても経営層が処分されるケースはほとんどありません。そのため、日本のOTセキュリティに対する危機感が十分に高まっていない点を懸念しています」と縣氏は指摘する。

「OTゼロトラスト」で製造現場を防御

　TXOne Networks（以下、TXOne）は、ITセキュリティ大手のトレンドマイクロと、産業用ネットワーク機器メーカーのMoxaが2019年に共同設立した、OTセキュリティの専業企業だ。あらゆるものを信頼しない前提で対策を講じる「ゼロトラスト」の考え方を、OT領域にも適用した「OTゼロトラスト」を掲げ、デバイス、データ、スマートマシンを多層的に保護するアプローチを採用。工場に持ち込まれる端末、製造機器、USBメディアの検査とウイルス駆除を行う「Element」、ネットワークを監視／防御する「Edge」、端末を保護する「Stellar」、全体を統合管理する「SageOne」の4シリーズを展開している。

TXOne Networksの製品群［クリックで拡大］提供：TXOne Networks

　2024年には、日本法人の東京・虎ノ門ヒルズ ステーションタワー内の新オフィス開設に合わせて、大型会議室などの複合的な機能を有する「TXOne Innovation Hub」を設立した。

　ここでは、実際の制御機器を用いて工場ネットワークを模したOTシステムへのサイバー攻撃デモを体験できる。ランサムウェアや不正アクセスなどのサイバー攻撃のメカニズムに加え、TXOneのソリューションがどのように脅威からOTシステムを守るのかを理解できる。

　縣氏は「セキュリティは被害を受けて初めてその重要性を実感することが多い分野です。実際の制御機器を使った攻撃と防御の動きをご覧いただくことで、現場のリアリティーを感じ、リスクを自分ごととして体感できる場になっています」と語る。

TXOne Innovation Hubではサイバー攻撃デモを実施している 提供：TXOne Networks

“止められない”工場に押し寄せる脅威

　製造現場はかつてないサイバー攻撃の脅威を感じている。

　同社がフロスト＆サリバンと共同で実施した「OT／ICSサイバーセキュリティレポート 2024」によると、調査対象企業の約9割が「自社のOT環境がサイバーインシデントのリスクにさらされている」と回答している。実際にIT侵入攻撃を経験した企業は約7割、特定の組織などを長期間狙う持続的標的型攻撃（APT）を受けた企業は3割強に上る。「ファイアウオールは破られる可能性があり、そうすると製造現場も影響を受けるという現実を示しています」（縣氏）。

　防御面では、脆弱（ぜいじゃく）性を悪用された経験を持つ企業が約4割に達する一方、毎月パッチを適用できている企業はわずか1割強にとどまる。特に食品や自動車製造業ではこの比率が7％と低く、定期停止が難しい生産ラインでは、脆弱性を把握していても対応が遅れるという構造的課題が浮き彫りになった。さらに、OT環境でパッチ適用が進まない背景には「作業人員の不足」もある。

　縣氏は「現場では稼働の可用性が最優先されるため、年に一度しか止められない設備も多く、リスクを理解していても対処が後手に回ってしまうのが実情です。また、従業員が数万人規模の大企業でもOTセキュリティの専任担当が不在であることは珍しくなく、多くの企業ではIT部門や現場担当者が兼任し、限られたリソースで対応しています。だからこそ、現場に負担をかけず、手間を増やさずに導入／運用できる仕組みが求められています」と強調する。

“変えられない”現場を守る「Edgeファミリー」

　こうした製造現場特有の事情を踏まえ、現場の実情に即した現実的なOTセキュリティソリューションが、TXOneの「Edgeファミリー」だ。「環境が把握できない」「対策が分からない」「工場は止められない」「リソースが足りない」といったOTセキュリティの代表的な課題に対し、4つの製品がそれぞれ役割を担い、環境や規模に応じた防御／管理を実現する。

　これらの製品は単体でも効果を発揮するが、連携させることで「可視化」「防御」「運用／管理」をシームレスにつなぐトータルソリューションとして機能する。

　縣氏は「Edgeファミリーの特長は、導入が早く、手間がかからず、安心して使えることにあります。セキュリティは強固であることはもちろんですが、それ以上に“現場を止めない”ことが重要です。可視化、防御、運用継続、そして省力化という4つのアプローチで、OTセキュリティの課題を包括的に解決できます」と語る。

Edgeファミリーが発揮する機能［クリックで拡大］提供：TXOne Networks

　まず、セキュリティ対策の第一歩となる「可視化」では、工場内の資産や通信を自動で可視化する管理コンソール「EdgeOne」がPLC（プログラマブルロジックコントローラー）やHMI（ヒューマンマシンインタフェース）など、制御機器の通信経路と状態を解析し、工場全体のネットワーク構成を自動でマッピングする。装置ごとの接続関係や通信プロトコルを直感的に把握でき、異常な通信や未登録機器も迅速に検知できる。

　「防御」を担うのが、制御機器への不正通信や脆弱性攻撃を個別に遮断する「EdgeIPS」と、EdgeIPSにNAT（ネットワークアドレス変換）機能を統合した「EdgeFire」だ。これらはOTに特化して設計されたIPS（不正侵入防止システム）で、制御機器とネットワークの「間に挟む」だけで導入でき、既存システムを止めずに防御層を追加できる。

　さらに独自の「自動ルール学習機能」により、実際の通信を短期間で学習して正常パターンを自動判別し、想定外の通信を検知する。従来は半年以上を要した通信ルール設定を数週間で完了できる。

　加えて、EdgeIPSシリーズにはネットワークを分割して保護する「セグメンテーション機能」も標準搭載されており、上位モデルのEdgeIPS Proでは最大48ゾーンまでの分離構成が可能だ。製造ラインや工程ごとに通信経路を区切ることで、インシデントが発生しても他工程への波及を防ぎ、堅ろうな防御層を構築できる。また、アンチウイルスソフトを導入できない制御端末や、Windows XPなど旧世代OSの機器も「仮想パッチ」により脆弱性攻撃を未然に防げる。

　「運用／管理」面においては、Edgeデバイスが二重電源とハードウェアバイパス機能を標準装備しており、ハードウェア障害が発生しても通信を維持したまま切り替えが可能なため、現場の稼働を止めることなく安全に運用を継続できる。さらに、EdgeOneにはリスク度に応じた優先順位と推奨アクションを提示する「脆弱性ビュー」機能が搭載され、担当者が迷わず対処できる環境を提供している。

　Edgeファミリーはオンプレミス型に加え、複数拠点をクラウドで一元管理できるモデルも用意。約15種類のラインアップをそろえ、現場の規模や構成に応じて選択できる。

Edgeファミリーの幅広いラインアップ［クリックで拡大］提供：TXOne Networks

グローバルに広がる導入事例、重要インフラでも

　Edgeファミリーは、OTセキュリティに特化したソリューションとして、今や製造業から電力や港湾などの社会インフラまで、世界各地の“止められない”現場を支え続けている。

　東欧の自動車工場では、複雑化したネットワーク構成がセキュリティ対策の課題となっていた。設備や制御端末が世代ごとに混在し、通信経路を把握できず、ファイアウオール設定の見直しに半年以上を要していたが、Edgeファミリーを導入したことで、装置ごとの通信関係を自動解析し、わずか1週間で再構築を完了。ネットワーク全体の可視化と、細かなネットワーク設定を必要としない物理セグメンテーションにより、限られた人員でも効率的な運用を実現した。

　台湾の大手半導体メーカーでは、製造ネットワークへのマルウェア侵入が発生した際の再発防止策としてEdgeIPS Proを導入。製造工程ごとに装置間通信を論理的に分割して各ラインを独立して保護する構成とした。これにより、特定の工程でインシデントが発生しても他工程への波及を防ぎ、既存システムを停止させることなく防御層を強化できた。

　「パッチ適用などの脆弱性対策情報は日々発表されていますが、製造現場が逐一対応していくのは困難です。Edgeファミリーをお使いいただくことで、それらの対策を代替することができます。その手軽さから近年は工場に加え、各地の重要インフラでもお使いいただいています」（縣氏）

　企業の現実に寄り添い、導入や運用のハードルを徹底的に下げた設計は、複雑化するOT環境において、現場の実情に即したセキュリティの新しい在り方を提示している。Edgeファミリーは、現場目線でOTセキュリティを実現する、現実的かつ確実な選択肢となるだろう。