OTセキュリティとは?ITとの違いや重要性について解説
製造業や社会インフラなどで利用されているOT(Operational Technology)システムのセキュリティ対策である「OTセキュリティ」に、今注目が集まっています。この記事では、OTセキュリティとはどのようなセキュリティかを解説していきます。
OTセキュリティとは?
OTセキュリティとは?
OTセキュリティとは、簡単にいうと産業システムに搭載された機器や装置、あるいは製造プロセスそのものを監視したり制御したりする技術のことをいいます。私たちは日常生活のなかで「OT」という言葉に触れることは多くありません。けれどもOTは、人々の暮らしを陰で支えている重要な技術です。以下で詳しく見ていきましょう。
そもそもOTシステムとは
OTは、「Operational Technology(オペレーショナルテクノロジー)」の略称で直訳すると「運用技術」です。OTシステムは、製造業や社会インフラなどで利用されている産業用制御システムで、具体的には、工場や発電所の監視制御、ダムの排水量調節、病院の医療装置などに使われています。
システムを保護する役割
近年注目を浴びているOTセキュリティは、サイバー攻撃や技術的な障害からOTシステムを守るための対策です。OTシステムは、人命に影響を及ぼすこともある制御システムであるため、いつでも正常に稼働することが前提です。工場の生産ラインの予期せぬ停止やインフラの安全面での問題は、あってはならないリスクといえるでしょう。OTセキュリティには、こうしたリスクを最小限に抑える働きがあり、社会インフラの管理には欠かせないセキュリティです。
OTセキュリティとITセキュリティの違い
OTセキュリティとITセキュリティの違い
OTは耳慣れない言葉だとしても、「Information Technology(インフォメーションテクノロジー)」の略称であるITは知っている人も多いでしょう。OTセキュリティとITセキュリティはよく比較され、混同されることもあります。
前提として、OTは水道システムや発電所のような、もともと情報が漏洩しにくい閉鎖的な環境のシステムです。対して、ITは全世界の個人や企業などにおける情報共有を目的とした広範囲に及ぶシステムです。
つまり、OTセキュリティとは、製造業や社会インフラにおけるシステムの運用技術において、物理的制御の安全性を高めるためのものです。一方、ITセキュリティとは、インターネットを中心とする情報通信技術の総称であるITに対しての安全性を高めるための対策を指します。
加えて、OTとITは言葉の響きは似ているものの、システムのライフサイクルが異なることも忘れてはなりません。システムのライフサイクルとは、そのシステムが開発されて、発展・普及し、新システムの開発によって衰退または代替される過程を意味します。導入されてから別のシステムに置き換えられるまでの寿命ともいえるでしょう。ITのライフサイクルは長くても5年程度ですが、OTは10年〜20年以上稼働しているものもあります。
(OTとITの違い)
OTセキュリティが注目される社会的な背景
OTセキュリティが注目される社会的な背景
OTシステムはこれまでも使用されてきたシステムでありながら、現段階でセキュリティに注目が集まっているのはなぜでしょうか。そこには社会的な背景があります。
OTが脅威にさらされるようになった
OTセキュリティが注目される背景の1つとして、OTシステムが置かれている環境の変化が挙げられます。従来、OTシステムはインターネットに接続しない閉域の環境に置かれていました。たとえば製造業のOTシステムは、工場のハードウェアを制御・運用するネットワークとして企業の構内に構築されています。つまり外部ネットワークに接続していない状態にあり、そのためセキュリティ面でのリスクは低いとされてきました。しかし昨今ではデジタルイノベーションの加速により、ITシステムやネットワークとの連携が進み、サイバー攻撃等の脅威にさらされる危険性が高まっています。かつてクローズドだったOTシステムは、脅威にさらされない前提で設計されているため、そのまま運用を続けるのは安全といえません。こうしたことから、OTとITに接点が存在することを前提としたセキュリティ対策が求められているといえるでしょう。
サイバー攻撃の目的が変化した
サイバー攻撃の目的の変化もOTセキュリティが注目を浴びるようになった背景として考えられます。かつて、サイバー攻撃は、主にデータを盗むことを目的にしていました。しかし現在では、OTシステムのセキュリティの不備を狙い、企業に損害を与えることを目的とした攻撃が増えています。以下のように、OTネットワークがサイバー攻撃を受けて発生した被害の例※1もあります。
・ 2021年:米国ネバダ州の上下水道システム(WWS)へのランサムウェア攻撃
・ 2021年:国内光学機器メーカーの米子会社へのランサムウェア攻撃
・ 2021年:米国メイン州の WWS へのランサムウェア攻撃
・ 2021年:建設コンサルティング会社へのランサムウェア攻撃
・ 2022年:Emotet の感染再拡大
・ 2022年:国内自動車部品メーカーへのランサムウェア攻撃
サイバー犯罪集団にとって、OTネットワークは恰好の標的といえるでしょう。
組織も危機意識を持つようになった
(サイバー攻撃がOTシステムに危険を及ぼす工程)
OTセキュリティ対策の難しさ
OTセキュリティ対策の難しさ
OTとITは、対策を行う際のセキュリティの内容が異なります。セキュリティ製品を導入する場合、ITにおけるセキュリティ製品の導入は比較的容易で、該当製品をインストールするだけで完了します。しかし、OTネットワークのセキュリティ対策はITよりも困難です。どのような点で難しいか、OTセキュリティ対策の特徴を見ていきましょう。
システムを停止しにくい
OTのセキュリティ対策が困難な要因として、システムを停止しにくい環境が挙げられます。セキュリティ対策を行うにあたり、一時的とはいえシステム停止や再起動を伴います。たとえばセキュリティ対策のために、自動車工場のラインを止めるとなると、製造できない時間の分の経済的な損害が発生してしまうでしょう。
アップデートが難しい
サイバー攻撃の手口は、年を追うごとに巧妙になっており、OTセキュリティを最新の状態に保つのが難しい状況にあります。1度きりのセキュリティ対策ではなく、定期的なソフトウェアのアップデートや、脆弱性を解決するパッチ(修正プログラム)の適用といった更新が必要となるためです。さらに、アップデートやパッチの適用に際しても、システムを一旦停止する必要があります。
IT管理者が存在しない場合がある
OTは閉域網で稼働するため、企業の情報システム部門を介さずにシステムを構築することが多く、IT管理者がいないケースもあります。情報システム部門はOTシステムの内容を把握しておらず、セキュリティ対策について介入できないケースもあるでしょう。組織的にシステム構築の内容を把握できていないことが、OTセキュリティの強化においてハードルとなります。
機器の更新頻度が高く複雑化している
タブレットをはじめとしたモバイル機器等の導入が進み、ネットワークが複雑になっていることも、対策が難化する要因です。工場では生産ラインや装置の変更が頻繁に行われます。担当者が現場改善のために各種機器を接続することもあるでしょう。脆弱性が残ったままの機器が多く、接続機器を管理しにくい環境であることも、対策を困難にしています。
OTセキュリティを強化するには?
OTセキュリティを強化するには?
OTセキュリティの重要性は認識したものの、具体的にはどのような対策を施したらよいのでしょうか。OTセキュリティでは「可視化」「状態管理」「脆弱性管理」の3つが重要視されます。詳しく見ていきましょう。
可視化する
セキュリティ対策では「見えていないものは守れない」という原則があります。OTでもITでも最初のアプローチは可視化と認識しておきましょう。可視化すべき内容は、機器(デバイス)と通信トラフィックであり、機器については、IT、OT、ネットワーク機器など、どのようなものが存在しているのかを可視化します。通信トラフィックについては、可視化において最も重要な情報です。通信トラフィックをモニタリングすることで、機器同士がどのようなプロトコルで通信を発生させているのかを把握できます。
状態を管理する
可視化の後は、状態を把握・管理します。可視化の対象である機器と通信トラフィックの平常時の状態を把握しておきます。OTはITと比較すると変化が激しいものではありません。同じ機器に対して同じプロトコルでの通信が発生しています。そのため、何かあったときに変化に気付きやすいという特性があるでしょう。平常時から逸脱した状況を検知することで、リスクを把握できます。
脆弱性を管理する
可視化と状態管理ができたら、脆弱性の把握・管理を行います。OTについては、セキュリティ対策が薄く、脆弱性が内在していると想定されるため、脆弱性を管理する必要があるでしょう。脆弱性を確認しても稼働が優先となり、すぐに対策できないことも考えられますが、把握しておくことで有事の際に対応しやすくなります。また、脆弱性が存在したとしても、それがネットワーク的に攻撃される恐れがなければ、早急に対策をとる必要はありません。脆弱性を確認したら攻撃性までを想定して、どのように対応していくか判断しましょう。その際、さまざまな脆弱性のうち重大なものを見極める必要があります。優先度の高いものから対策を行うことで、効率的なセキュリティ対策を実現できるでしょう。
上記のような方法があるとはいえ、一般的な解決方法としては、OTセキュリティベンダーへの依頼が挙げられます。OTセキュリティベンダーを選ぶ際には、そのソリューションが自社のネットワークを保護するベストな手法であるかを判断しましょう。
まとめ
まとめ
OTセキュリティとは、製造業や社会インフラの安全性を保つ重要なセキュリティです。企業の早急な経営課題として、セキュリティの強化が望まれているものの、対策は容易ではありません。まずできることとして、専門知識を持ったOTセキュリティベンダーへの相談が必要です。
RX Japan株式会社では、日本最大級の製造業の展示会「ものづくり ワールド」を東京ビッグサイトで行うほか、大阪・名古屋・九州でも開催しております。そのなかでも、構成展の1つである「製造業サイバーセキュリティ展」では、製造業のセキュリティ対策を推進するIT製品、ソリューションなどが出展します。
製造業の最先端事例が学べるセミナーもあるため、足を運んでみてはいかがでしょうか。
また、来場だけでなく展示会への出展も受け付けております。気になる方は、お気軽にお問い合わせください。
●イベントの詳細はこちら
※1 出典:「令和4年度サプライチェーン・サイバーセキュリティ対策促進事業(国内セキュリティ関連市場における製品・サービス提供者及び機器検証事業者に関する実態調査)」、株式会社富士キメラ総研
(最終確認:2024年5月2日)
※2 出典:「IIoT / OTセキュリティ対策、約50%の企業が不十分と認識」、Business Network / 株式会社リックテレコム
(最終確認:2024年5月2日)
執筆者プロフィール
池内 晴菜
株式会社ファン・マーケティングに入社後、幅広い領域のコンテンツ制作を行う。
不動産やマーケティング、フェムテック領域にまつわる記事の執筆や編集を主に担当。
▼この記事をSNSでシェアする