心配事は実は同じ、IT/OT部門がセキュリティ対策で協調するのに必要なこと:産業制御システムのセキュリティ(1/2 ページ)
IT/OT部門の“対立”は製造業ではおなじみのテーマと言えるかもしれない。業務領域や役割への相互理解の欠如は、サイバー攻撃への脆弱さにつながりかねない。しかし、実は両部門がセキュリティ対策で重視する項目は、根底でつながっているのではないだろうか。
2021年、ランサムウェアの攻撃は製造業界に多大な混乱をもたらし、サイバー犯罪事案として最も大きな懸念事項の1つとなりました。情報セキュリティ分野に特化した教育専門機関であるSANSが2021年に実施したOT(制御技術)/ICS(産業制御システム)サイバーセキュリティ調査によると、製造業界のおよそ2割の企業が過去1年の間に、少なくとも1回侵害を受けていると報告されています。
さらに恐るべきことに、世界中の製造業者のうち、侵害されたかどうか分からない企業が半数近く(48%)あります。製造業界ではIT、OT、IIoT(産業用IoT)の融合がますます進んでいますが、これによって急速にアタックサーフェスが拡大され、脅威の侵入経路が増しているという側面もあります。
日本では現在、さまざまな産業分野で5G通信が普及し始めており、今後、本格的な利活用の事例が増加すると見込まれています。しかし、その一方で、5G通信ネットワークのエッジデバイスであるIoT(モノのインターネット)機器も製造現場に多く設置され始めています。これに伴い、サイバー攻撃の被害も深刻化する恐れがあるといえるでしょう。
また、ネットワーク環境の問題とは別に、サプライチェーンの長大化、複雑化もセキュリティリスクを高めています。1カ所で生じたセキュリティ侵害がチェーン全体に波及し、大きな被害につながる可能性も高まっているのです。
こうしたセキュリティリスクへの対応として、企業はIT/OTの両面で秀逸な専門技能を備えておかなければなりません。ただ、脅威環境が動的であること、また攻撃頻度自体が非常に高まっているという現実を考えると、リスク全てに企業が対応しきるのは非常に難しいことでもあります。
ITの優先事項を後回しにしがちなOT部門
対応を困難にしているのは外部要因だけではありません。社内にも要因はあります。その1つがIT/OT部門の相互理解の不足です。互いの業務領域についての知識が不足している、業務の必要性についての認識が不十分であるという点が挙げられるでしょう。
OT部門は主に物理的な世界に目を向けます。生命、身体、財産の安全、管理対象のプロセスの可用性と全体性、生産製品の一貫した品質の確保などが業務の関心事です。いわゆる(従来の)ITの優先事項である、データの機密性、完全性、可用性の保護は二の次とみなします。
OTの世界で重要なのは、安全で継続的な製造活動を確保できることで、正確でタイムリーな制御通信を行えるようにすることです。しかし、ITで実践されているサイバーセキュリティの概念は、OTの世界にとっても重要な価値を提供する場合があります。OT環境はPLC(プログラマブルロジックコントローラー)だけで構成されているわけではなく、50%がITデバイスで構成されています。このことを考えれば、両領域が深い部分でつながっていることが分かるでしょう。
ITデバイスにはDCS(デジタルコントロールシステム)をホストするWindowsやLinuxコンピューター、HMI(ヒューマンマシンインターフェース)、スイッチ、ルーターなどがあり、その上、IoTデバイスが増える一方です。工場内にこのようなデバイスが配備されると、運用環境は外部の脅威と脆弱性に露呈されます。今日のコンバージェンスの進んだIT/OT環境は、OT運用者にサイバーセキュリティの基本を学んで適用しなければならないという現実を突き付けているのです。そのため、安全性、可用性、品質の維持能力を向上させていく必要があります。
OT管理者のためのIT教育を
多くのOT担当者は、サイバーセキュリティはOT部門の運営を複雑にすると見ているようです。サイバーセキュリティを必要な対策として受け入れないばかりか、理解しないまま遠ざけられてしまうことが往々にしてあります。
しかしOT部門の運営にセキュリティ対策は必要不可欠です。例えば、パッチ未適用のWindowsベースのDCSが、万が一ランサムウェア攻撃の被害を受ければ、OTのKPI(重要業績評価指標)に影響してしまうでしょう。工場長も、もちろん事業担当者も、OT環境におけるサイバーセキュリティを無視することはできないのです。
OTの管理者は、守りたい対象となるコンピュータやネットワークをインターネットなどの他ネットワークから物理的に隔離する「エアギャップ」だけに頼った安全維持の方法は、もはやこの時代では無意味だと理解する必要があります。最も優秀なITのセキュリティプラクティスをOT用にカスタマイズして適用すれば、リスクを排除しながらKPIを維持向上させることも可能になるのです。
攻撃される前にプロアクティブなセキュリティ対策を実行し、公衆衛生と同様にサイバーセキュリティに関する衛生管理を行う「サイバー衛生」の体制を十分に確立しておけば、ランサムウェアなどの攻撃が起きてから対処するより、操業上の混乱がはるかに少なく済みます。攻撃されてからランサムウェアの脅威に対処しようとしても後の祭りであり、OT管理者はまずこのことを認識しなければなりません。
Copyright © ITmedia, Inc. All Rights Reserved.