OTセキュリティとは？～サイバー攻撃被害事例、ITセキュリティとの違いを踏まえて対策ポイントを解説

OTセキュリティとITセキュリティの違い

OTセキュリティとITセキュリティにはさまざまな違いがあります。OTセキュリティへの対策を検討する上で、その違いを認識しておくことが重要です。

1. 守るべき対象の違い

不正アクセス・情報漏洩対策などのITセキュリティは、社員が業務に用いるPCやタブレット、スマートフォンなどのエンドポイント端末から、業務システムを稼働させるサーバなどの機器まで幅広いと考えられがちですが、実は守るべき対象は「共有および意思決定のための情報そのもの」です。

それに対して、OTセキュリティが守る対象は、あくまでも「機器や装置、製造プロセスなどの制御および監視のためのシステム」になります。

2. 基本的な考え方の違い

情報セキュリティの3要素、CIA：「Confidentiality（機密性）」「Integrity（完全性）」「Availability（可用性）」でみたときに、ITセキュリティは「機密性」を最重要と考えます。一方、OTセキュリティは「可用性」が重要です。プロフィットセンターであるOTは稼働が止まれば、売上の減少に直結します。そのため、OTセキュリティでは「稼働を止めない」ことが大切なのです。

しかし、近年では業界全体としてOTセキュリティに脆弱性が散見されています。例えば、システム停止の可能性がある脆弱性スキャン（アクティブスキャン）や、システム停止の原因となる定期的なパッチ適用やOSの更新がされていないため、セキュリティ脆弱性を生む原因となっているのです。

3. 管理する部門の違い

情報システム部門が管理するITセキュリティに対し、OTセキュリティの対象である機械やシステムは、工場など生産現場側で管理されています。さらに、ITセキュリティの対象となるネットワークはインターネット接続を前提としたTCP/IPと呼ばれる標準プロトコルで通信を行いますが、OTでは各機器がメーカー独自プロトコルや汎用の制御ネットワークプロトコルで通信することが多く、インターネット通信を前提としていません。

管理部門が異なることで、セキュリティ上の連携ができていないことも多くなっており、効率的な運用・保守が求められています。

4. 経営視点での役割の違い

一般に社員が業務で利用するITシステムは、コストセンターと位置づけられます。一方、OTは商品を生産する現場であることから、プロフィットセンターという位置づけです。この経営視点の違いは、投資の考え方にも影響を及ぼします。一般的にコストセンターの場合、生産性や品質向上などに対する投資対効果が主な投資判断要素となります。

一方、プロフィットセンターの場合は、初期投資コストと将来生み出される利益（キャッシュフロー）に基づく収益率（いわゆる利回り）と現在価値、つまり収益性が主な判断要素となります。OTセキュリティは、この収益性を高めるために「どれだけリスクを低減できるか」という視点が求められるのです。

5. 償却（使用）期間の違い

IT関連機器や製品のサポート期間は通常5年程度であり、一般的に5年以内の周期で定期的にリプレイス（更新）されます。一方、OT機器やシステムは償却まで10～20年と長期に及ぶため、OT機器を制御するOSやブラウザも長期間更新できないという特有の事情が発生しがちです。

6. 対策製品の豊富さの違い

ITセキュリティ領域では取り組みおよび予防を含めた対策など、多くのベンダーから多種多様なソリューションが提供されており、テクノロジーの進化スピードも速いです。一方、OTセキュリティ領域では対象となる制御システムなどの独自性が高いため個別対策が求められる傾向にあります。

OTセキュリティの必要性が高まる理由

かつてのOTシステムは、独自OSが利用されることが多く、ネットワークも工場内で完結していました。そのため、従来はインターネットをはじめとする外部ネットワークには接続されていませんでした。しかし、近年ではOTとITの連携に伴う、一元的で厳格なセキュリティ体制の構築が求められています。ここでOTセキュリティの必要性が高まる理由について解説します。

インダストリー4.0によるOT環境のDX推進

2011年にドイツ政府が提唱した「インダストリー4.0」を契機として、欧米でOT環境におけるIoTやDXの推進が加速しました。日本においても2015年頃から追従の動きが見られるようになり、2018年に経済産業省が発表した「DXレポート」により、本格的に製造業におけるIoTやDX推進に向けた取り組みが活発化します。

その結果、近年ではOTシステムにおいても汎用OSが採用されることが増え、データ分析やAI活用などを目的として、OTシステムとITシステムの連携も加速しています。OTシステムはITシステムを介して外部ネットワークに接続されるようになり、クラウドサービスを利用するケースも増加中です。

例えば、保守管理や管理のパフォーマンス向上を目的とした各工作機械の稼働データの収集・分析が必要な場合、インターネット（クラウド）や社内LANなどのITネットワークにOT（産業用制御）システムを接続して運用します。そのほか災害やパンデミック時におけるBCP（Business Continuity Plan：事業継続計画）の観点からも、OTとITを連携させるリモート操業のニーズが議論されているほどです。

製造業におけるDX化が推進されている昨今、OTセキュリティは事業を安全に展開していくにあたり必要不可欠な存在です。製造業をターゲットにしたランサムウェアなどによるサイバー攻撃は増加中なこともあり、OTセキュリティ対策の重要性が非常に高まっています。

DX化によるOTセキュリティ構築の必要性の高まり

OTシステムを外部ネットワークに接続することで、攻撃者から侵入される接続点が増えてしまっています。さらに汎用OSを使用する場合、適切なアップデートを行わなければ脆弱性を利用したランサムウェアなどのサイバー攻撃を受けるリスクが高まるのです。

実際に、IT環境に比べセキュリティ対策が遅れているOT環境では、近年、サイバー犯罪の被害が増加しています。OT環境がサイバー攻撃を受けることで、サプライチェーン全体へと被害が及び、莫大な損害につながるリスクが現実のものとなっています。そのため、製造業OTセキュリティへの必要性が高まり、取り組みも加速しているのです。

ランサムウェアとEmotet（エモテット）によるOT環境への攻撃

次に、OTセキュリティを狙う代表的なサイバー攻撃として、ランサムウェアとEmotet（エモテット）について、その特徴を解説します。

被害が高額なOT環境へのランサムウェア

ランサムウェアとは、企業や組織の重要データを暗号化・使用不能にして、復旧と引き換えに金銭などの「身代金」を要求する恐喝手法です。メール、Webサイトの閲覧、USB接続などが起点となり感染するランサムウェアだけではなく、近年はVPN機器の脆弱性につけこみ侵入を試みる事例も増加しています。

ランサムウェアでは金銭が奪われるだけでなく、復旧に長い時間を要することも大きなダメージです。警察庁の調べでは、復旧までに「1週間以上～1か月未満」要したと回答した企業が3割。また、調査や復旧にかかる金額も1,000万円以上という高額にのぼるケースが半分以上を占めています。

出典「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」警察庁 p5

端末を介して感染するマルウェアの一種・Emotet

Emotetとは、eメールに添付されたファイル（WordやExcelなどのOffice文書）や不正リンクが起点となって感染をもたらすマルウェアです。Emotetに感染すると機密情報を窃取されたり、ネットワーク経由で他の端末への感染拡大をもたらします。一時は収束したものの2022年以降また被害が増加しており警戒が必要です。

製造業におけるマルウェア攻撃の被害は、バックオフィスの担当者が「過去にやり取りのある相手」に成りすました悪意のあるメールを開くことで端末が感染します。その後、ネットワーク経由で工場内の機器やサーバなどに被害が拡大するケースが多く挙げられます。

OTシステムへのサイバー攻撃事例

こうしたサイバー攻撃被害に見舞われると、企業は大きな損失を被ります。ここでは主だった国内外のOTシステムを狙ったサイバー攻撃の、被害事例をご紹介します。

OTセキュリティ対策の進め方～基本的な3つのステップ

これらの現状を踏まえて、ここからは主体となるチーム編成、現状把握と評価、脅威の侵入および拡散の防止という3つのステップで、OTネットワークに対するセキュリティ対策の基本的な進め方を解説します。

1. 主体となるチームを編成する

OTセキュリティの難しさの1つに、主体となる組織が定まっていないことが挙げられます。一般的に企業がOTセキュリティ対策に取り組む場合、IT部門とOT部門のどちらかが主導することが多いです。

IT部門はITセキュリティ対策についての知見がありますが、多くの場合でOTシステムや実業務についての知識が乏しく、工場内の状況（機器・端末・ネットワークなど）が把握できていません。一方、OT部門には専門の担当者が不在であることが多く、セキュリティ対策に関する知識・ノウハウの蓄積が少ないです。

さらに、OTシステムとITシステムではシステムを構築する要素や守るべき対象などが異なるため、IT部門が作成したセキュリティ対策ガイドラインをそのままOTセキュリティ対策に適用することは困難です。そのため、たとえITセキュリティのプロがシステム構築・運用を担当することになっても「何をしたらよいのか」「どこから手を付けたらよいのか」がわからず、両部門の連携が進まず、プロジェクトの取り組みが遅れるケースが多くみられます。

OTセキュリティの導入遅延を防ぐには、経営層がOTセキュリティ対策の必要性を正しく認識した上で、部門を横断した独自の対策チームを編成することが重要です。

2. 現状把握・評価

主体となるチームを編成したら、まず行うことはOTシステムの現状調査および、セキュリティリスクの把握です。対象範囲における情報資産と物理資産(端末など)およびシステム図やデータフロー図から、資産における重要度を特定します。現状の自社資産を把握し、保護資産の優先順位を固めることで、抜け漏れのないセキュリティ対策ができます。

現状把握においては、以下の観点での棚卸しが必要です。

棚卸しすることで管理台帳と実端末の差異や、IT部門が認識していないOS・ソフトウェアの存在を把握できます。認識されていない端末などはセキュリティ面で脆弱な場合が多く、攻撃者の侵入や機器・端末の停止や誤作動、さらには工場の操業停止などセキュリティリスクのきっかけになるので注意です。

棚卸しの結果を「工場セキュリティガイドライン*」や国際標準に基づいて評価することで、必要なOTセキュリティ対策を実施できます。棚卸しによって経営層やOT部門の責任者に対策の必要性を自覚させるだけでなく、OTセキュリティの予算捻出の根拠にもなります。

*経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」

3. 脅威の侵入および拡散の防止

現状のセキュリティリスクが可視化されたら、次はOTシステムを守るための対策の実行です。まずは、サイバー攻撃を受けた場合の影響範囲の限定と、OTシステムの可用性を維持するための施策を優先して実行しましょう。

具体的には下記のような施策です。

といった対策を行うことでサイバー攻撃による被害を最小化し、工場の操業停止という最悪の事態を防止します。

＜サービス紹介＞OTネットワークのサイバー攻撃リスクを軽減するIIJ Safous ZTA

IIJでは、製造業OTネットワークに対するサイバー攻撃リスクを軽減するゼロトラスト・セキュリティを、簡単な導入方法で実現するIIJ Safous ZTAを提供しています。

IIJ Safous ZTAは、ゼロトラスト・セキュリティの考え方をベースに、社内の情報資産により安全にリモートアクセスするために必要なセキュリティ機能をオールインワンで提供します。これによりVPNなどの既存のリモートアクセス手段を、簡単でセキュアなSafousで代替できます。

IIJ Safous ZTAが提供する価値

お客様のネットワークにはApp Gatewayを設置するだけです。ユーザの端末はWebブラウザを経由して最寄りのSafous POPを自動選択します。これにより認証と細かなアクセス制御を実現し、端末のセキュリティ状態に関わらず、セキュアに社内のリソースにアクセスすることが可能になります。

サービスについてより詳しくは、下記からご参照ください。

IIJ Safous ZTA - ゼロトラスト・セキュリティに基づいたセキュアアクセスサービス

OTネットワークにおけるセキュリティ脅威対策でお悩みの際は、ぜひIIJまでお気軽にお問い合わせください。