工場セキュリティへの原点回帰として、第1回でセキュリティリスクから守るべき対象は何か、あらためて確認をしました。続く2回目は、いわゆるITのセキュリティである情報セキュリティとの違いを振り返り、対策の道筋へとつなげます。
産業制御システムの変遷
OT(産業制御システム)の代表格の1つが、SCADA(Supervisory Control And Data Acquisition)と呼ばれる監視制御およびデータ収集システムです。現在のSCADAは、パッケージソフトをベースに構築することが多くなっています。従来(約20年前)は、制御系に特化した専用のリアルタイム・マルチタスクOSを用いて、C言語等によりアプリケーションソフトをスクラッチで開発していました。そのシステム構成では、工場の生産ラインをグラフィカルな画面に表現するため、高性能なワークステーション等を用いることもあったのです。
ここに大きな環境変化をもたらしたのが、マイクロソフト社のWindowsを搭載するサーバやパソコンの普及です。GUI(グラフィカル・ユーザ・インターフェイス)の搭載と安定したマルチタスク機能により、PC/AT互換機といった汎用的なプラットフォームの活用が進みます。さらに、時を同じくしてWindowsのアプリケーションとしてSCADAパッケージソフトが登場します。監視制御システムの構築は、スクラッチ開発からパッケージソフトの導入へと移りました。
こうした動きは、オープン化やダウンサイジングと呼ばれ、IT(情報システム)の分野で変革が起こります。これがOTにも波及して、比較的ITに近い環境で利用可能なOTのオープン化が進んだのです。
OT(工場) VS IT(情報)
第1回でも、下表に示すOTとITを比較した特徴をいくつか取りあげました。ここでは、特に次の2つの特徴について、説明を加えます。
セキュリティパッチ
ITの環境では、OSやアプリケーションソフトに関する脆弱性が公表されると、できるだけ速やかにセキュリティパッチを当てるのがセオリーです。しかし、OTの環境ではそうはいきません。ネットワーク経由でパッチファイルがダウンロードできない(インターネットに接続していない)、セキュリティパッチを当てた際の事前検証ができない(機械設備を含めたテスト環境が準備できない)、リアルタイム性への影響が懸念される(処理レスポンスが遅くなる)、そもそも利用しているOSやアプリケーションのバージョンが古過ぎてパッチが提供されていない等の課題があるからです。
マルウェア対策
ITのサーバやパソコンには、マルウェアを検知・駆除する対策ソフトを導入し、パターンファイル等を最新の状態にアップデートするのが当たり前になっています。ただ、OTではセキュリティパッチと同様の課題があり、導入が難しいことが多いのです。これに対して、ホワイトリスト型(登録したアプリケーション以外の動作を止める)の対策ソフトでカバーすることもありますが、マルウェア対策はまだまだこれからといった状況です。
| 一般的な特徴 | OT | IT |
|---|---|---|
| システム機能 | リアルタイム処理 | トランザクション中心 |
| セキュリティ要素 | 可用性を重視 | 機密性を重視 |
| 耐用年数 | 10~20年以上 | 3~5年 |
| 主管組織 | 生産技術部門 | 情報システム部門 |
| セキュリティパッチ | 適用が難しい | 適用が必須 |
| マルウェア対策 | 導入が難しい | 導入が必須 |
| HSEへの考慮 | 必要性がある | 必要性が低い |
| アカウント管理 | 共有IDの利用 | 個人IDを識別 |
重要なポイントは
このようなOTとITの特徴ですが、それが決定的な違いにならない場合もあります。例えば、ITは機密性重視、OTは可用性重視といった傾向はあるにせよ、対象によりケースバイケースだと言えるからです。ITのサーバ機器にも、OTと同様に「24時間×365日」の連続稼働による高い可用性を求めることがあります。「OT/ITだから~」といった限定は、必ずしもできない場合があるのです。
それでは、OTとITで決定的な違いが生じるのは、いったいどういった特徴なのでしょうか?
まずは、HSE(Health、Safety、Environment:健康、安全、環境)への考慮があげられます。例えば、化学物質のプロセスを制御するOTの環境において、セキュリティが原因のトラブルにより、誤って有害物質が外部へ排出されたら大きな問題となります。人の健康や安全、環境に大きな影響を及ぼします。ITでは、これと同様な考慮が求められるケースは少ないのではないでしょうか。
さらに、利用者の運用面でも状況は大きく異なります。例えば、OTの監視パソコンでは(銀行のATMや駅の券売機のように)作業効率を優先するが故に起動時に自動でログインし、操作画面を初期表示するものが主流です。ユーザ自身のID・パスワードで、都度ログインを求めるITの業務パソコンとは利用環境や目的から大きな違いが生じているのです。
ここで重要なことは、そうした特徴の違いから何を考えるべきか。つまり、どうセキュリティ対策につなげるのかといった観点です。そもそも対策が必要となる要因とは何でしょうか? それはリスクの存在です。極端に言えば、対処が必要なリスクがなければ対策は不要です。また、対策はリスクの内容によって変わります。リスクが適切に把握できていないと、十分な対策を行うことができず、また対策は的外れになるかもしれません。
そうした対策の前提となるリスクを考える上で、OTとITの違いを踏まえる必要があるのです。ITで定番の対策が、OTで必要なのかどうかはリスクしだいであり、その逆もまたしかりです。
続く第3回では、適切にリスクを把握するためのリスクアセスメントについて、その本質を振り返ります。
※本文中に記載されている会社名・製品名は各社の登録商標または商標です。
執筆者
KPMGコンサルティング
顧問 福田 敏博 ※掲載当時
いまさら聞けない工場セキュリティの基本
関連リンク
工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。
- 経営リスクで考える工場セキュリティ対策の重要性(全4回)
- 管理視点で考える工場セキュリティの勘どころ(全3回)
- 国際標準を読み解く IEC 62443の本質(全4回)
