急速な工場デジタル化が招く複雑なセキュリティ対策、OTの安全保障を考える:産業制御システムのセキュリティ
工場のデジタル化は資産がサイバー脅威にさらされるリスクの増大を意味します。身を守るために、OTではどのような対策を講じるべきでしょうか。
工場デジタル化に関連する国内市場は、今後数年で拡大を続け、 2025年度には1兆8000億円を超えると予想されています。工場内のデジタル化が一般化し、あらゆるものをネットワークにつなげて自動化しようとする動きが広がるにつれて、製造環境においても「アタックサーフェス」が増大しています。
アタックサーフェスとは、「攻撃にさらされている資産のソフトウェア脆弱(ぜいじゃく)性、あるいは、セキュリティ構成/設定の不備」、つまり「サイバー攻撃を受ける可能性のある領域」を意味します。新しい接続方法、外部の影響、 新しいソフトウェア開発プラクティス、テクノロジーのクラウド移行の加速化、これら全てがIT/OT(制御技術)インフラの混合を招いています。
サイバーリスクはビジネスリスク
デジタル化は事業運営や業務の効率性などを促進しますが、長期的に見ると不安な点もあります。それは、今なお、「サイバーハイジーン」の基本が既存のOT環境から欠落していることです。サイバーハイジーンとは、組織内のIT環境やインターネット接続環境などを可視化して把握すると同時に、組織全体が高いセキュリティ意識を持って、リスクの軽減や予防に取り組むことを意味します。
問題の背景には、サイバーリスクが戦略的なビジネスリスクであることに気付かず、経営の優先事項と見なしていない企業の存在があります。そのような企業は、これまで相互接続、アクセス、複雑性、デジタル化などを戦略的なビジネスリスクと捉えることがなかっただけでなく、そのような規制の対象でもなかったのです。
アタックサーフェスの増加は、単に資産の数が膨大になっただけではなく、サイバー領域にさらされ、サイバー攻撃を受けるリスクがある資産の種類が増えたためでもあります。シャドーIT、パブリッククラウド、一過性のリソース、分散化が進むインフラやアプリケーションの導入、これらがアタックサーフェスを非常に動的で、とりとめもなく変化するものに変えました。その結果、ITとOTが混在するインフラに対応しきれていない企業は、対処し切れない数の脆弱性に直面し、設定の正式な変更がいつ実行されたかを知るすべもなく、実行中の攻撃も侵害の兆候も検知できません。
このようなケースではITとOTの協力が必要です。例えば、新しい電源として太陽光発電用の電池を住宅に設置してメンテナンスを第三者に委託する場合、システムを良好な状態で維持するのは請負業者の責任になり、不正な操作があれば、それが原因で基幹電力インフラ事業者が不正確な判断を下すことにもなりかねません。
リモート勤務が多くなっている今、従業員がフィッシング攻撃の経路として利用されることも考えられ、サイバー犯罪者は企業のネットワークにまずアクセスして、それを軸足に重要インフラを侵害することができます。潜在的なリスクは高く、もし攻撃されれば、製造中止、安全性の問題、風評被害などの原因にもなります。
現在の対策はベースラインでしかない
一般的に、企業のセキュリティ対策は、業界の規則または政府の指令に従って実施されています。これらの規制によってセキュリティレベルが向上していることは確かですが、規制はあくまでもベースラインと見なすのが適切でしょう。
セキュリティ対策があるにもかかわらず、見落とされている部分があったり、セキュリティポリシーがなかったり、あるいは、対策があっても施行されていない場合もあり得ます。さらに、OTインフラやIT/OTが融合した環境と外部ネットワークとの交点が把握されていない、または十分に保護されていないケースも想定されますが、これらが要因となり、サイバー攻撃は成功しているのです。
さらにOTのシステムにはセキュリティパッチが適用できない、あるいはサポートの対象外という場合も散見されます。このため、特に攻撃に脆弱な可能性があります。
その上、多くのOTネットワークは「暗黙の信頼関係」の上に立って運用されています。どういう意味かというと、装置やシステムが単に物理的に施設内にあるだけで信頼されているので、各部分のトラフィックの分離などが強制されていません。従って、1カ所で攻撃が成功してしまうと、そこを足掛かりに工場の他の場所へと簡単に進んでしまいます。
デジタル資産と環境を保護するには
サイバー脅威から身を守るためにOT事業者は、まず、あらゆる種類の資産のファームウェアバージョン、パッチレベル、設定、そしてOTインフラ内にある全てのものの脆弱性に関わる状態を完全に記録したインベントリを作成する必要があります。
インベントリにはWindowsやLinuxなど、一般的にITで使われるOS に基づく大量の資産も含めます。多くの場合、この種の資産は、デジタルコントロールシステム(DCS)やヒューマンマシンインタフェース(HMI)のプラットフォームとして機能しています。保護の対象を把握できないようでは防御しようがないのは言うまでもありません。OT環境内における全ての資産の状態、バージョン、設定、脆弱性に関わる状態を把握することが必要不可欠です。このインベントリでは、デバイスにある全てのソフトウェアも正確に評価して、環境を過度のリスクにさらす原因となるコンポーネントを突き止めます。
そして最後に、最も重要なこととして、OT環境内の通信パターンの完全なインベントリも作成します。「通常」のベースラインを把握することと、使用プロトコルの特定なども含めて不審な行動を特定することが目的です。OT環境内の通信には規則的なパターンが多く、一定数のOT専用のプロトコルを使うので、これは重要なポイントです。
完全に静的な環境というものはあり得ないので、基本的には資産インベントリとネットワーク上の行動を常時監視する必要があります。「スナップショット」のアプローチを取れば、ある時点での環境の状態が分かりますし、その後、設定に変更が生じたらその旨を通知させることも可能です。設定変更は、マルウェアやランサムウェアなどによる攻撃の兆候かもしれません。並行して、リアルタイムのアラート機能と監査追跡機能を活用することも、セキュリティとコンプライアンスの観点からは必須といえます。
デジタル変革という概念は、IT関係者にとっては目新しいものではありません。しかし、変革のスピードが過去2年間で急激に加速し、企業は事業を継続していくために、さまざまなクラウドやリモートアクセスソリューションを導入せざるを得ない状況に追い込まれました。
OTにおけるITシステムやネットワークとの接続は比較的新しい現象ですが、従来の産業システムを最新の接続ソリューションでアップデートして効率改善させるようなケースもよく見られるようになりました。その結果生じるIT/OTコンバージェンスは事業運営の在り方を急速に変革させて、同時にリスクを増大させます。ですから、今までITに向けていたセキュリティの視線を、OTの安全保障にも向けることがより重視されるのです。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 制御システムセキュリティの現在とこれから
制御システム技術者が知っておくべき「セキュリティの基礎知識」を分かりやすく紹介する本連載。最終回となる今回は、今までに述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で、これから制御システムセキュリティの分野がどうなっていくのかについての考えを紹介する。 - 経営層が理解できる「OTセキュリティ戦略」はどのように策定すればよいのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第5回は、経営層が「OTセキュリティ戦略」の必要性をさらに深く理解できるようにするための策定手法について説明する。 - 心配事は実は同じ、IT/OT部門がセキュリティ対策で協調するのに必要なこと
IT/OT部門の“対立”は製造業ではおなじみのテーマと言えるかもしれない。業務領域や役割への相互理解の欠如は、サイバー攻撃への脆弱さにつながりかねない。しかし、実は両部門がセキュリティ対策で重視する項目は、根底でつながっているのではないだろうか。 - 終焉する“孤立したOTネットワーク”、ITとの統合でサイバー攻撃を防ぐには
製造業におけるサイバーリスクとセキュリティトレンドおよびそれらの課題と対策について説明する本連載。第1回は、既に自動化が進んだ工場におけるOTとITの統合に向けたサイバー攻撃への対策を取り上げます。 - 「OTのゼロトラスト化」は進むのか、米国セキュリティ企業の問いかけ
Nozomi Networksは2022年6月8日、同社の国内事業展望と、産業セキュリティの最新トレンドについての説明会をオンラインで開催した。ネットワークセキュリティ業界で注目を集めるゼロトラストの思想をOT領域にも拡張することについて、現状での課題点などが提示された。 - OTとITのノウハウを注入したDXを、横河デジタルの新たな挑戦
横河電機は2022年7月1日に、製造業の経営から現場までを見渡したDX(デジタルトランスフォーメーション)を推進する経営コンサルティング企業である横河デジタルを設立。同年10月1日から営業を開始することを発表した横河デジタルの代表取締役社長となった鹿子木宏明氏と、横河電機 フェローで横河デジタルの取締役に就任した勝木雅人氏に話を聞いた。 - ITとOTの組織連携はどうすれば進められるのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第2回は、製造業にとって重要なIT(情報システム)とOT(制御システム)の組織連携の進め方について説明する。 - 産業用スマートグラスはIT/OTの「結節点」になれるか、米国発新興企業の展望
現在、産業用スマートグラスは国内外の多くのメーカーが展開している。その中で着実に国内販売実績を積み上げている企業がRealWearだ。2015年に米国で創業したスタートアップで、同社のスマートグラスは全世界で約5万台を超える販売実績を持っている。ただ、国内市場参入当初は顧客に導入を渋られていた時期もあったという。そこから販売台数を伸ばした要因と、産業用スマートグラス市場の今後の展望などを聞いた。