OTセキュリティとは?ITとの違い・OT環境のリスクと対策の基本
| 執筆者: | ニュートン・コンサルティング 編集部 |
工場やインフラ設備を支える制御・運用技術(OT)は従来閉鎖的な環境として構築・利用されてきました。しかし、DXの実現に向けてはOTをITと連携させることが必要となっています。企業にとって重要な役割を果たしている制御機器をネットワークと接続することは大きなメリットがありますが、一方でこれまで想定してこなかったセキュリティリスクにも直面しなければなりません。
本記事では、OTとOTセキュリティについて、概要と背景、セキュリティ課題とリスク、対策推進の基本ステップを解説します。
OT(Operational Technology)とは?
OT(Operational Technology)は、日本語にすると「制御・運用技術」となり、工場やプラント、ビル、インフラ設備などの制御を行う技術および制御運用のシステム(仕組み)を指します。企業の事業活動の根幹を成す仕組みであり、継続して利用することで利益をもたらすため、高い可用性(Availability)が求められることが特徴です。
OTセキュリティは、この制御運用のためのシステムに関するセキュリティを意味します。OTでは、PCではなくPLC(Programmable Logic Controller)と呼ばれる、工場やインフラ設備の動作を自動制御する産業用コンピュータなどが用いられており、これらの上で稼働するソフトウェアのサイバーセキュリティなどが焦点となります。
OTとIT・IoTの違い
IT(Information Technology)は情報を取り扱う技術一般を指します。ITの中でも、OTは閉鎖的な範囲での機器の制御にフォーカスしているといえます。情報セキュリティの3大要素のうち、OTでは「可用性」が、ITでは「機密性」が最優先事項となる点も異なるところです。OTはより物理的な環境と相互関係が強いことも違いとなります。
また、IoT(Internet of Things)はあらゆるものをインターネットと繋ぎデータ収集や遠隔操作を実現する技術です。IoTもITの中の一つといえますが、ネットワークに接続して利用することが前提です。OTはもともと工場などのクローズドな範囲で利用する制御機器に関する技術である点が大きく異なります。ただし、近年のOTのネットワークへの接続により、OTにもIoTを取り込む動きが加速しています。
なぜ今、工場のOTセキュリティが急務なのか
あらゆる企業、業務で自動化、IoT化、データ活用が推進され、DXによるあらたな価値の創出が広く求められています。工場などの生産現場ももちろん同様で、状況の可視化などが強く望まれています。OTをネットワークと接続して整理し、可視化することなどのスマートファクトリー化がその有望な手段の一つです。
しかし、従来は閉鎖環境のみでの利用が前提とされていたOTが、外部のネットワークと接続されることにはリスクも伴います。それがサイバー脅威の存在です。
サイバー攻撃は高度化、巧妙化が進んでおり、サプライチェーンリスクやランサムウェア攻撃など考慮しなくてはならない要因が多々あります。特に事業の根幹となる生産現場がサイバー攻撃による被害を受けた場合には、事業継続に大きな影響が出ることも想定されます。
また、OTの技術がオープン化していることもOTセキュリティの整備が急がれる一因です。WindowsやLinuxを用いたシステムは共通化された技術を適用できるため利便性は高いものの、IT分野における脆弱性も同時にもたらす存在といえます。
OTセキュリティの隙を突いた代表的な事例として、ウクライナの地域暖房システムへのサイバー攻撃が挙げられます。2024年1月、ウクライナの地域暖房事業者に対するサイバー攻撃により、約600棟の住宅で暖房供給が停止する事案が発生しました。この攻撃には産業制御システム(ICS)を操作するマルウェア(通称FrostyGoop)が使用されたと、セキュリティ企業Dragosが報告しています(※1)。
このような状況から、OTセキュリティの整備が急ぎ求められています。
※1:Dragos「INTELLIGENCE BRIEF Impact of FrostyGoop ICS Malware on Connected OT Systems」
OT環境特有のセキュリティ課題とリスク
OT環境はもともと企業内、工場内、建物内などの閉鎖的な環境を想定して導入されています。つまり、外部のネットワークへの接続は想定していないため、サイバー攻撃に対するセキュリティ対策は十分でないことがほとんどです。
個々のPLC、SCADA(Supervisory Control and Data Acquisition ※2)、IoT機器などの基本ソフトウェア(ファームウェア)も長期間利用されている場合が多く、こちらもローカル環境でアップデートがされていない・できない場合も多々あります。特に導入後安定稼働しているOTの場合には、入れ替えや更新に際するトラブルを避けたい意向からアンタッチャブルな領域となっているケースも見られます。また、長期間稼働したことによりOTそのものがブラックボックス化することも大きなリスクです。
※2:工場やインフラの製造設備のデータを一元管理する制御管理システム。
対策を推進するための基本ステップ
OTのセキュリティ整備に対する基本的な進め方については、先行事例から導き出されたガイドラインを活用することが有効です。経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を公開しており、OTセキュリティ対策推進のための基本ステップが参考にできます。
同ガイドラインにおけるステップの大項目には下記が挙げられています。各企業、工場などの特性に合わせてカスタマイズすることが必要です。
- 内外要件(経営層の取組の法令等)や業務、保護対象等の整理
- セキュリティ対策の立案
- セキュリティ対策の実行、及び計画・対策・運用方針の不断の見直し(PDCAサイクルの実施)
- 経済産業省 半導体デバイス工場におけるOTセキュリティガイドライン Ver1.0
- https://www.meti.go.jp/policy/netsecurity/wg1/semiconductor_systems_guideline_ver1.0.pdf
まとめ:OTセキュリティで事業継続を守るために
工場やプラント、ビル、インフラ設備などの制御・運用のためのOTは企業の事業を支える根幹となっています。これらのOTはデータ活用に対する需要などから、ネットワークへの接続を求められる状況です。しかし、その際にはOTセキュリティの確保が必要となります。OTは従来ネットワーク接続を前提としておらず、外部からの攻撃などに対応していない場合が多いためです。
OTセキュリティの確保に向けては、経済産業省が示しているガイドラインなどに沿って、自社に合った対策を推進することが指針となります。
