OTセキュリティとは、工場などを動かすシステムをサイバー攻撃から守るための対策です。
近年、OT(Operational Technology)環境とIT環境の接続が進み、企業におけるサイバーセキュリティリスクが増大しています。特に、工場やプラントといったOT環境でセキュリティインシデントが発生すると、生産ラインの停止や操業への甚大な影響の可能性も否定できません。
このような背景からOTセキュリティへの関心が高まっているものの、「具体的にOTセキュリティとは何か」「ITセキュリティとは何が違うのか」「どのような対策を進めればよいのか」といった疑問をお持ちの企業も多いのではないでしょうか。
本記事では、OTセキュリティの概要から、OTセキュリティが重要視される理由や、ITセキュリティとの違い、OTセキュリティ対策を進める具体的なステップ、企業が直面しやすい課題についてもご紹介します。
OTセキュリティの強化を検討されている企業は、ぜひ最後までお読みください。
OT(Operational Technology)とは、電力・ガスなどのエネルギー分野や交通インフラ、機械や食品の生産ライン、オフィスビルといった産業分野において、設備やシステムを適切に動かすための技術の総称です。
OTセキュリティとは、これらの制御システムやネットワークをサイバー攻撃から保護するための対策を指します。
従来のOT環境は、IT環境とは分離されたクローズドな環境で運用されていたため、外部からの攻撃リスクは限定的で、セキュリティ対策はそれほど重要視されてきませんでした。
しかし近年、製造業におけるスマートファクトリーの導入や設備のIoT化が進み、OTシステムも外部ネットワークに接続する機会が増えています。インターネット接続を頻繁に行わない工場などでも、サイバー攻撃によって不正アクセスの被害に遭うリスクが高まっているため、OT環境におけるセキュリティ対策の実施が企業にとって喫緊の課題となっているのです。
近年、工場などでOTセキュリティが求められている背景について、さらに詳しく見ていきましょう。
近年のOTシステムやネットワークは、ITシステムと相互接続されるようになってきました。
従来の工場におけるOTシステムは、社内ネットワークのみに接続されることが前提で設計されており、インターネットなど外部ネットワークへの接続は想定されていないケースが多く見られました。
ところがデジタル技術が急速に進化した現代においては、人手不足の解消や業務効率化、DX推進による付加価値の創出などを目的として、OTシステムをインターネットや外部のクラウドサービスなどに接続して利用する機会が増加しています。ITシステムと比較して、OTシステムのサイバーセキュリティ対策は一般的に遅れており、サイバー攻撃の標的として狙われやすい課題が指摘されています。
不正アクセスなど外部からの脅威にさらされることになるため、OTセキュリティ対策が以前より求められるようになっているのです。
OTシステムに対するサイバー攻撃が発生している点も、OTセキュリティの強化が求められる理由の一つです。
IT環境と比較して、OT環境におけるセキュリティインシデントの発生件数は多くないものの、事業運営への影響が大きい点が懸念されています。
たとえば、製造業や物流業でOTシステムの脆弱性が狙われシステム停止に陥ってしまうと、その企業の収益や社会的信頼性が下がるだけでなく、サプライチェーンを通じて被害が広範囲に及ぶ恐れも想定されます。
フォーティネットジャパン合同会社が、OTシステムを運用している企業の責任者を対象とした調査によると、73%の組織が2024年中にOTシステムに関連する侵入被害を経験しており、前年度の49%から大きく増加したことが明らかになりました。このことからも、OTセキュリティ対策の強化は企業にとって急務であるといえるでしょう。
参考:FORTINET|「OTサイバーセキュリティに関する現状レポート」最新版を発表:OT組織を標的にするサイバー攻撃が増加
続いて、国内外で起こった複数の被害事例を紹介します。
2019年3月19日、ノルウェーのアルミニウム製造大手はランサムウェア「LockerGoga(ロッカーゴガ)」によるサイバー攻撃を受けました。
その結果、40カ国160の拠点で2,700台の端末と500台のサーバーが不正に暗号化される事態に陥り、長期間にわたって稼働に影響を及ぼすこととなりました。
2018年8月、台湾の半導体製造企業はランサムウェア「WannaCry(ワナクライ)」の亜種に感染し、多くの端末と製造機器が影響を受けました。「WannaCry」は、端末に保存されているファイルを暗号化し、元の状態に戻すことと引き換えに金銭を要求する不正プログラムです。
不正に暗号化された端末は操作不可能となり、3日間の操業停止に。営業利益ベースで見ると最大190億円もの損害を被る事態となりました。
昨今、製造業をはじめとする各産業でDXが促進されていますが、OTシステムとITシステムが接続されることでセキュリティリスクは高まります。
本来、企業はDXとOTセキュリティ対策を両輪で進める必要がありますが、「OTセキュリティ対策の具体的な方法がわからない」という課題を感じているIT部門担当者は少なくありません。
そこで、政府はセキュリティガイドラインを策定しています。たとえば、経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を策定。また、IEC62443、NIST SP800-82といった国際的なガイドラインも定められています。以下の表で、それぞれの概要を見てみましょう。
| ガイドラインの例 | 概要 |
|---|---|
| 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン | 業界団体・各企業が自らセキュリティ対策を企画・実行するに当たり、参照すべき考え方やステップを示した「手引き」。 各業界・業種が自ら工場のセキュリティ対策を立案・実行することで、工場のセキュリティの底上げを図ることが目的。 |
| IEC62443 | さまざまな産業における制御システムのセキュリティに関する国際基準。 |
| NIST SP800-82 | 産業用制御システムを安全に構築するためのガイダンス。 |
このようなセキュリティガイドラインへの準拠は、企業のOTセキュリティ強化につながるだけでなく、企業の信頼性も向上にも貢献すると考えられます。今後、各セキュリティガイドラインで定められた要件を満たさなければ、取引先や顧客からの信頼を損なうなど、サプライチェーン全体において取引継続が困難になるリスクも想定されるでしょう。
ここで、OTセキュリティとITセキュリティとの違いを整理します。次表で、ITシステムとOTシステムにおける保護対象や想定リスクなどの違いを見てみましょう。
| 種類 | ITシステム | OTシステム |
|---|---|---|
| 保護対象 |
|
|
| 想定リスク |
|
|
| 優先順位 |
C → I → A ※Confidentiality(機密性)、Integrity(完全性)、Availability(可用性) |
A → I → C(業種による) ※Confidentiality(機密性)、Integrity(完全性)、Availability(可用性) ※H(Health)、S(Safety)、E(Environment)を意識する考え方もあり |
| システム | 汎用的なIT製品/OS |
|
| システム更新 | 3~5年 | 10~20年(FA系は短い傾向) |
| 通信仕様 | TCP/IP、HTTPなど |
|
| 稼働時間 |
|
|
| 運用管理 | 情報システム部門 | 現場技術部門 |
ITシステムの保護対象は「情報資産」であるのに対し、OTシステムでは「モノ(制御設備・製品)」です。想定リスクについては、ITシステムが「情報漏えい・改ざん・消去によるサービス停止」で、OTシステムは「操業停止、品質不良、人身事故、環境事故」です。
また、セキュリティ対策における優先順位も異なっています。ITシステムは「機密性→完全性→可用性」ですが、OTの場合は「可用性→完全性→機密性」、もしくは企業によって工場でのリスク管理などの観点から「健康→安全→環境」を意識する考え方も想定されるでしょう。
加えて、ITシステムでは汎用的なIT製品・OSでシステムを構成しますが、OTシステムでは独自仕様が多く見られ、オープン化の流れもあります。システム更新はITシステムで3〜5年、OTシステムでは10〜20年が目安です。通信仕様はITシステムではTCP/IP、HTTPなどで、OTシステムでは産業制御プロトコルが多いです。システム稼働時間はITシステムでは通常業務時間、システム一時停止も可能ですが、OTシステムでは24時間365日、システムの一時停止不可の場合も想定に含まれます。
さらに、システムの運用管理については、ITシステムの場合では情報システム部門、OTシステムの場合では現場技術部門が担当する場合が多いです。
このように、OTシステムとITシステムでは、担当部門やセキュリティ対策の主な目的、対象保護対象や想定リスク、システムやその通信仕様、稼働時間などで大きく違いがあるため、IT環境で適用されているセキュリティルールが、OT環境では当てはまらない場合も数多く存在すると考えられます。
また、IT環境の技術はオープン化が進んでいる一方で、OT環境はクローズドに構築されてきたこともあり、「OTネットワークの何がどこにつながっているかわからない」などの課題を抱える企業も少なくないでしょう。
ここからは、OTセキュリティ対策の進め方について解説します。
まずは、想定されるリスクや、現状のシステムのセキュリティ対策状況、保護対象の可視化に取り組みましょう。
具体的には、チェックシートによるリスクの評価、工場に流れる通信をキャプチャして資産一覧を作成するなどを通して、以下のようなセキュリティの課題を明らかにします。
現状を把握し、リスクの洗い出しができたら、採り入れるべき対策の内容を具体的に検討していきます。具体的には、次のようなタスクが考えられるでしょう。
続いて、計画・スケジュールに則って対策を実装します。
運用フェーズでは、毎日のシステム運用管理を通じてシステムの改善を積み重ねるほか、従業員に対する制御システムセキュリティ教育・訓練の継続的な取り組みも不可欠です。
前章で紹介した手順に従ってOTセキュリティ対策に取り組もうとしても、課題に直面する可能性があります。
たとえば、「異常を視覚的に発見しやすいものの、機器障害とセキュリティインシデントの判別が困難だ」という場面が挙げられるでしょう。
また、長期利用のレガシーシステムはセキュリティ対策が実装されておらず、新たに実装することもできないケースも少なくありません。
加えて、制御ネットワークを監視する場合、産業用プロトコルに対応したセキュリティ製品の導入や、情報システム部門と現場技術部門の連携および役割分担も必要です。しかし、自社のリソースや知見だけでは対応が難しいケースもあるでしょう。
このような課題に直面した場合には、信頼できる外部パートナーに、OTセキュリティ対策に関して相談するのも一つの方法です。
OTセキュリティ対策に知見のある外部パートナーに支援を仰ぐことで、現状のリスク評価や必要な対策の洗い出し、セキュリティ製品の選定、効果的な運用が可能になると期待できます。
OTセキュリティ対策に関して外部パートナーへの相談をお考えのお客さまは、ぜひNTTドコモビジネスの「OTセキュリティソリューション」をご検討ください。
NTTドコモビジネスでは、コンサルティング、製品・サービス、教育・訓練の3つのカテゴリーで、以下のOTセキュリティソリューションをご提供しています。
たとえば、工場やビルシステムにおいて、経済産業省によるガイドラインの評価基準にもとづいたリスク評価の実施が可能です。また、国内外で広く使われているセキュリティガイドラインを踏まえ、OTシステムの運用実態に合ったセキュリティポリシーの策定も支援しています。
さらに、OTネットワークで取得した通信パケットの可視化やセキュアネットワーク構築、OT向けIDS、監視サービスもご提供しています。
以下では、OTセキュリティソリューションの導入実績を業界別でご紹介します。
機械関連のお客さまに対し、工場ネットワークの可視化支援を実施した事例です。
工場LAN内のセキュリティリスク分析や運用監視を実施できていないという課題に対し、検出されたリスクに対して内容を精査し、重要度の高いリスクに対処。
セキュリティ管理規程を更新し、ネットワークの変更や監視の検討に取り組みました。
化学業界のお客さまに対しても、工場セキュリティポリシー策定、工場のセキュアネットワーク構築、工場のセキュリティ監視の支援を実施しました。
IT領域でのセキュリティポリシーは存在していましたが、工場側でポリシーに準拠できない内容が多く、OT特有の事情を反映した工場セキュリティポリシーがないという課題があったといいます。なおかつ、工場内のITネットワークとOTネットワークが混在し、ランサムウェアなどの被害に遭った場合には被害が甚大になるリスクがあるため、対策が必要でした。
そこで、NTTドコモビジネスが工場のセキュリティポリシー作成を支援。工場のIT/OT境界にはUTM※1を導入し、IT/OTの境界分離と脅威検知を実施。UTMのログを常時監視・分析し、重要な脅威をリアルタイムで検知するだけでなく、迅速な運用チームとの連携も実現しました。
※1 UTM(Unified Threat Management):ファイアウォール、アンチウイルス、アンチスパムなどの機能を集約して管理する手法。「統合脅威管理」と訳される。
自動車業界のお客さまでも、工場のセキュアネットワーク構築および工場のセキュリティ監視を支援しました。
上記の事例と同様に、工場内のITネットワークとOTネットワークが混在していたため、ランサムウェアなどの攻撃に遭うと被害が甚大になるリスクがありました。
そこで、IT/OTの境界分離、マイクロセグメンテーション※2と脅威検知を実施。重要な脅威のリアルタイム検知や、運用チームとの迅速な連携が実現した事例です。
※2 マイクロセグメンテーション:ネットワークを用途別などにより細かく分離し、情報システムの観点で安全性を高めること。
NTTドコモビジネスが提供する「OTセキュリティソリューション」の詳細はこちら
本記事では、OTセキュリティに関する基礎知識から、対策の進め方、企業が直面しがちな課題をお伝えするとともに、OTセキュリティ対策をすでに実装している企業の事例も複数ご紹介しました。
OTセキュリティ対策を実現するためには、自社のネットワーク構成や通信状況、資産や侵入リスクの適切な可視化が必要です。その上で、セキュリティポリシー策定や、必要なセキュリティ対策製品の導入・実装、さらには管理運用者の選任、従業員に対する制御システムセキュリティ教育・訓練の実施など、取り組むべき項目は多岐にわたります。
OTセキュリティに関する知見・伴走支援を必要とされているお客さまは、ぜひ一度NTTドコモビジネスへお気軽にご相談ください。「OTセキュリティソリューション」を通じて、運用フェーズまで支援します。
詳しく質問したい方はこちら!
このページのトップへ
コンサルティング
製品・サービス
教育・訓練