検索
Special

USBメモリは「使わせない」から「安全に使う」へ、必要な方策とは?工場USBセキュリティ対策

OTセキュリティ対策への意識が高まるなか、静かに狙われているのが、製造現場に根付くUSBメモリだ。標的となるのはネットワークの脆弱性ではなく、「人の意識」や「セキュリティ運用」の隙間。そのため、技術頼みの対策だけでは限界がある。こうした実情に対し、TXOne Networksは「使わせない」ではなく「安全に使う」ための仕組みを提供する。可搬媒体の検査や管理を担う「Element」シリーズと、端末防御を実現する「Stellar」。それぞれの強みと、実際の導入現場での活用事例を聞いた。

[PR/MONOist] PC用表示
Share
Tweet
LINE
Hatena
PR

 近年は、機密情報の不正持ち出しやウイルスの感染を防ぐため、USBメモリなどのリムーバブル(可搬型)メディアの使用を厳しく制限している企業は多い。

 ただ、製造業を中心とするOT(制御技術)の現場では、現在でもUSBメモリが日常的に使われている。ネットワークから隔離された環境において、OSやアプリケーションの更新、装置の稼働ログの収集などを行うために、USBメモリは最も手軽で確実なデータの受け渡し手段だからだ。

 特に、生産設備が長期稼働する環境ではネットワーク更新が容易でなく、結果としてUSBメモリが運用の要となっているケースも多い。

現場に根付くUSBメモリが攻撃の起点に

 一方で、その便利さが同時に脅威の入り口にもなっている。

 OTネットワークを通じた攻撃対策が進むなか、攻撃者はより防御の手薄な領域としてUSBメモリに目を向けている。実際、マルウェアが仕組まれたBadUSBを標的の企業に送り付ける攻撃が発生している他、普段使用しているUSBメモリが気付かないうちにマルウェアに感染している例もあり、USBメモリが感染拡大や初期侵入の主要な経路になりつつある。

 さらに近年では、USBメモリを感染経路とするマルウェア自体も悪質化/高度化している。従来のシステム破壊や誤作動といった単純な攻撃にとどまらず、金銭窃取や遠隔操作、機密情報の盗取、さらにはカメラやマイクを通じた監視など、攻撃の目的と手口はますます多様化している。

USBメモリを感染経路とした代表的なマルウェア
USBメモリを感染経路とした代表的なマルウェア[クリックで拡大]提供:TXOne Networks

 OTセキュリティ専業企業TXOne Networks Japanのプロダクトマーケティングマネージャーである西尾麻里氏は、「攻撃者が狙うのは技術的な脆弱(ぜいじゃく)性ではなく、『つい挿してしまう』という人の心理や、USBポートの無防備さといったセキュリティの“隙間”です。従って、従来の技術対策だけでは限界があります。加えて、USBは同じ形状の媒体が大量に流通し、持ち運びやすく、すり替えも簡単です。そのうえ、誰がどこで挿したかの痕跡も残りにくい」と指摘する。

 USBメモリ使用時の申請/許可制やシリアル番号の台帳記入など、ルールを厳格に定めても運用が煩雑になって形骸化すればリスクを招く。OT環境では全面的なUSBメモリの禁止もかえって現場の非効率となる。求められるのは、適切なリスク排除と効率的な運用を両立させる現実的なソリューションだ。「現場でUSBメモリの利用が避けられない以上、禁止するのではなく、使うことを前提にツールと仕組みで安全を担保することが不可欠です」(西尾氏)。

外部デバイスを“検疫”する「Element」シリーズ

 TXOne Networksは、ITセキュリティ大手トレンドマイクロと産業用ネットワーク機器メーカーMoxaが2019年に共同設立した、OTセキュリティに特化した企業だ。

 あらゆるものを信頼しない前提で対策を講じる「OTゼロトラスト」を掲げ、ネットワーク防御の「Edge」シリーズやCPS(サイバーフィジカルシステム)保護プラットフォームの「SageOne」などを展開。現在では製造業や重要インフラを中心にグローバルで導入が進んでおり、世界各地の現場でOTセキュリティの実現を支えている。

 その中で、USBメモリなど可搬デバイス経由の脅威に対して有効なのが、同社の「Element」シリーズと「Stellar」となる。

 Elementシリーズは、USBメモリなどを“安全に使う”ためのソリューションだ。リムーバブルデバイスによる端末検査、出入口での物理スキャン、ログの一元管理を担う3製品で構成されている。

  • Portable Inspector:USBメモリ型のスキャンデバイスで、既存や新規の機器を直接検査できる。機器側へのソフトウェア導入は不要で、オフライン環境でも高速スキャンが可能。「Lite」「Standard」「Pro」の3モデルを展開し、現場規模に応じた柔軟な運用に対応する。
  • Safe Port:工場やオフィスの出入口に設置するシンプルなスキャンステーション。USBメモリを挿すだけで自動的にウイルス検査し、最大約7200ファイル/分の高速スキャンを実現する。不要な機能を排したシンプルで分かりやすい専用設計も特徴だ。
  • ElementOne:各デバイスで取得したスキャン結果や資産情報を一元管理するコンソール。パターンファイルの自動アップデートやスキャン結果の自動連携に対応しており、更新や集計の手間をかけずに全拠点の利用状況を把握できる。
セキュリティ検査と資産管理業務を効率化するElementシリーズ
セキュリティ検査と資産管理業務を効率化するElementシリーズ[クリックで拡大]提供:TXOne Networks

 まず、外部からのUSBメモリの持ち込みに対しては、Safe PortとElementOneによる対策が中核を担う。工場などの出入り口に設置したSafe PortにUSBメモリを接続するだけで、自動的にスキャンを実行。スキャン結果やデバイスのシリアル番号といった詳細なログは全てElementOneに自動で集約されるため、利用履歴の追跡や監査対応にも活用できる。

 欧州の大手自動車メーカーでは、外部委託業者や社内メンテナンス担当者がUSBメモリやPCを工場に持ち込む運用が常態化していた。情報漏えい防止のためにツールを導入したものの、USBメモリを全面的に利用禁止にしたことで現場業務との衝突が発生。さらに、ツールが適用できないレガシー環境ではマルウェア侵入のリスクが残っていた。

 そこでSafe PortとPortable Inspector Proを導入し、持ち込みストレージデバイスの自動スキャンと、信頼できるメディアによるソフトウェア転送を実現した。現場運用と実際のルール運用の間に生じていたギャップを、TXOneのソリューションによって埋めた好例といえる。

 また、グローバルに展開する大手医薬品メーカーでは、医薬品製造機器へのセキュリティツールの導入に制約があり、一般的なエンドポイント保護ツールを利用できなかった。そこで、ソフトウェアをインストールせずにマルウェアスキャンを実施できるPortable Inspectorを採用し、取得したログや資産情報をElementOneで集中管理。これにより、監査要件を満たす環境を構築した。

 最近ではSafe Portに新機能として、スキャン済みUSBメモリに電子タグを付与し、検証済みデバイスであることを示す「リムーバブルメディア検証機能」も追加された。工場などのクローズド環境では、端末にインストールされた専用のエージェントがタグを自動検証し、有効期限切れや改ざん、未スキャンの媒体を検知すると自動で利用をブロックする。これにより、物理シールや目視確認に頼らず、「チェック済みUSBだけが使える」運用を技術的に保証する。

 現場間のファイル共有には、Portable Inspector ProとElementOneを組み合わせたセキュアな転送の仕組みを用意する。新たにElementOneに追加予定の「ファイル配布」機能を利用することで、外部から安全にファイルを持ち込み、Portable Inspector Pro経由でクローズド環境へ適用できる。Portable Inspector Proを介すことで、転送データが確実にスキャン済みであることが保証され、物理USBを使用せずに安全かつ確実なデータ移送を実現する。

端末を守る“最後の砦”となる「Stellar」

 「Stellar」は、現場端末そのものを保護するエンドポイントセキュリティソフトだ。マルウェアスキャン、OTアプリ保護、ふるまい検知、ロックダウン、USBデバイス制御といった複数の機能を1つのエージェントに統合している。これにより、運用負荷を増やすことなく、現場の多様な端末を一元的に防御できるのが特長だ。

 特にUSBメモリ経由の侵入防御においては、各機能が連携し、段階的な多層防御を実現する。まずUSBデバイス制御で、登録されていないUSBメモリを自動的にブロックする。これに関しては、管理者が許可したメディアのみ一度限りの使用を認めることも可能だ。

 続いてAutorun.infの自動実行防止により、USBメモリを挿しただけでプログラムが起動する不正挙動を遮断する。ハードウェアのリソースが十分であればUSBメモリが接続された時点でマルウェアスキャンを開始することも可能だ。アプリケーション制御機能を有効にしていれば、許可リストにないアプリケーションの実行をブロックする。万が一これらをすり抜けて感染した場合でも、ふるまい検知が横展開や情報送信などの不審な動作を検知する。

 実際に米国の半導体メーカーで導入したところ、USBメモリ利用のルール違反を把握できた他、多数のマルウェアもStellarが検出したという。

StellarはUSB制御やふるまい検知などの機能でOT環境を保護
StellarはUSB制御やふるまい検知などの機能でOT環境を保護[クリックで拡大]提供:TXOne Networks

 TXOne Networks Japan マーケティング本部 プリンシパルプロダクトマーケティングマネージャーの松尾雄大氏は「Stellarは、Windows端末に導入して動作するエージェント型のセキュリティソフトで、複数の防御機能を統合し、段階的な防御によってUSB経由の脅威を入り口から実行、拡散段階まで全方位的に封じ込めます。その意味で“最後の砦”となる存在と言えます。さらに、このStellarとElementシリーズが連携することで、USBを経由した攻撃に対し多層的な防御体制を構築。万が一の手順漏れやヒューマンエラーがあっても、被害を最小限に抑えることができます」と強調する。

今後セキュリティ対策は “付加価値”に

 USBメモリの利用が欠かせないOT現場では、利便性とセキュリティの両立が常に課題となる。ElementシリーズとStellarは、そうした現場の実情に即して設計された、実践的なソリューションだ。

USBメモリを巡るOTゼロトラストのアプローチ
USBメモリを巡るOTゼロトラストのアプローチ[クリックで拡大]提供:TXOne Networks

 松尾氏は「現場では管理者の想定を超えるUSBメモリの利用シーンもあり、単一の対策だけでは防ぎきれないのが実情です。だからこそ、複数の防御レイヤーを設け、想定外のケースにも備えることが理想的です。加えて、技術面だけでなく、人の教育やインシデント発生時の対応を含めて考えることが、実効性あるセキュリティの鍵になると考えます」と述べる。

 加えて西尾氏は、セキュリティ対策を“コスト”ではなく“付加価値”として捉える重要性を強調する。「日本の製造業は長年、品質向上に注力してきましたが、サイバーセキュリティへの投資は収益に直結しにくいと見られがちで、その意識は海外に比べて遅れ気味です。製造プロセスや現場環境の安全と同じように、サイバーセキュリティも“品質の一要素”として取り組むことで、それ自体を付加価値として他社との差別化につながります」(西尾氏)。

 「使わせない」ではなく「安全に使う」という発想のもと、現場の利便性を損なうことなくOT環境の保護を実現するElementシリーズとStellar。USBメモリ運用の安全性と効率の両立に悩む企業にとって、有力な選択肢となるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:TXOne Networks Japan合同会社
アイティメディア営業企画/制作:MONOist 編集部/掲載内容有効期限:2025年12月31日

ページトップに戻る