長年にわたって工場の生産ラインやインフラを制御するOperational Technology(オペレーショナル・テクノロジー:以下、OT)はクローズドな環境で運用されてきました。このため、ITシステムとは異なり、サイバー攻撃とは無縁だと認識されていましたが、2010年以降様相は変わり始めています。現に国内外でOTシステムがサイバー攻撃を受け、操業に影響が生じる事態が起きています。企業はこの問題にどう取り組むべきでしょうか?
このような背景を受け、KPMGコンサルティング(以下、KPMG)のシニアマネジャーである保坂 範和と、テナブル・ネットワーク・セキュリティ社(以下、テナブル社)のセキュリティエンジニアである叶岡 衛氏が、OTにおけるセキュリティ対策の基本的な考え方について、それぞれの立場から3回にわたり解説します。
左から、テナブル社 叶岡氏、KPMG 保坂(WeWork丸の内北口で撮影)
もはや絵空事ではないOTへのサイバー攻撃、操業停止のリスクが現実に
もの作りの現場は今、新型コロナウイルス感染症(COVID-19)の影響やグローバル全体にまたがるサプライチェーンの不安定化といったさまざまな課題に直面しています。
なかでも、近年叫ばれている深刻な問題が「人材不足」です。限られたリソースでオペレーションを継続し、経験豊富なベテラン人材の頭の中にあるさまざまなナレッジを若手に継承していく手段の1つとして、生産現場を司るOTシステムやIoT機器をネットワークとつなぎ、ITシステムやクラウドと連携させるようなデジタル技術を活用する動きが始まっています。
問題はそれに伴い、サイバーセキュリティに関するリスクが高まってきたことです。一昔前まで、「ウイルス感染によって工場が止まってしまう」という話は空想上のこととされてきましたが、今や現実の脅威となっています。テナブル社の叶岡氏は「OTシステムにおけるセキュリティインシデントは、古くは2010年前後から継続的に発生してきました」と語ります。
すでに深刻なセキュリティインシデントがいくつも発生しています。2021年2月には、米フロリダ州の水処理施設に対するサイバー攻撃が発生しました。まだ動作していたサポート切れのWindows 7が侵入され、そこを足がかりにして水質調整システムまで侵害が広がり、水酸化ナトリウムの設定値が100ppmから11,000ppmという人体に害を及ぼすレベルに変更されてしまったのです。幸い、係員が異常にすぐ気づいたため実害は生じませんでしたが、OTを取り巻くリスクが高まっていることを示した一件になりました。
また、感染先のデータを暗号化し、身代金を要求してくる「ランサムウェア」による被害も相次いでいます。2021年2月には天然ガスのパイプラインがサイバー攻撃の影響で操業停止を余儀なくされたほか、5月には石油パイプラインがランサムウェアに感染して操業を停止しました。この結果、アメリカの一部の州でガソリン価格が値上がりするなど、社会的に大きな影響が生じました。
KPMGが行った調査からも、OT環境が狙われていることは明らかです。OT環境を狙うランサムウェアは2018年から2020年の3年間で6倍に増加しており、そのうち3分の1以上が製造業を狙った攻撃でした。
「日本でもランサムウェアの被害に遭い、システムが停止したため、やむを得ず手作業で運用したという報告がありました。医療や製造業、エネルギーといった領域を狙ったランサムウェア攻撃は非常に増えています。」(KPMG 保坂)
OTシステムへのサイバー攻撃は、社会に非常に大きな影響をもたらしかねません。もちろんITシステムがサイバー攻撃を受け、情報漏洩が発生すれば非常に深刻な問題ですし、企業は利用者や関係各所への連絡とお詫び、再発防止策の策定といったさまざまな対処に追われます。経済的な損失はもちろん、ブランドやレピュテーションも損なわれることになるでしょう。
しかしOTシステムが侵害されてOT機器やインフラの動きが止まったり、誤作動を起こしてしまうと、事故が引き起こされたり、健康や人命そのものにも影響が及ぶ可能性があります。だからこそサイバー攻撃者もそこを狙い始めているのだと考えられます。
「サイバー攻撃者は、止められては困るシステム、止められると社会的に影響が生じるシステムを狙って脅迫してきます。そういった意味で、OTはランサムウェアに狙われやすい環境と言えます。」(KPMG 保坂)
こうした動きを踏まえると、OTシステムのセキュリティ対策は、「一企業の責任だけにとどまらず、社会的な責任と言えるでしょう」とテナブル社の叶岡氏は述べています。
日本では大きく対応が遅れるOTシステムのリスクアセスメント
しかし、企業側の対策は進んでいるとは言いがたい状況です。「日本の企業では特にその傾向が顕著です」と、KPMGの保坂は警鐘を鳴らしています。
KPMGがまとめた「サイバーセキュリティサーベイ2022」によると、制御システム、OTシステムに対してセキュリティアセスメントを少なくとも年に1回以上実施している企業は海外では52.9%に上りました。一方日本では39.5%が実施しておらず、27.9%は「わからない」という回答でした。リスク評価はセキュリティ対策の第一歩ですが、海外に比べて大きく遅れている状況が明らかです。
制御システムに対するセキュリティアセスメントの実施状況
出典:「サイバーセキュリティサーベイ2022」(KPMGコンサルティング)
実際のところ、ランサムウェアの被害が各所で発生していることからもわかるとおり、OT環境では古いOSが長年にわたって使われ続けていたり、パッチ適用に伴うラインの停止を避けるために脆弱性が残ったままの機器が多数稼働したりしています。にもかかわらず、それらが事業にどのような影響を与えるのか、どの程度危険なのかといったリスクが把握できていない状態なのです。
かといって、これまでのように「OTは外部とつながっていないから大丈夫」で済ませるわけにはいきません。人手不足を解決し、さらなる効率化やコスト削減を実現するためには、工場を外部とつなぐ、いわゆるスマートファクトリーやデジタルトランスフォーメーション(DX)に取り組む必要があります。さらに一歩進み、自社が提供するさまざまな設備や機器をネットワークとつなぐことで、故障を予測してダウンタイムを減らすなど、よりよいサービスを実現して付加価値を高めようとする動きも始まっています。こうなると、インターネットから隔離された「エアギャップ」の中でOTを完結させることはできません。
もはや、製造業が生き残っていく上でDXは避けられません。そしてそれに付随するセキュリティリスクについても、きちんとそのリスクを把握し、緩和できるリスクはしかるべき対策を行い、受け入れるべきリスクは取っていくことでマネジメントをできるはずです。
残念ながら現時点では、「経営層の方はOTシステムに関して、まだリスクアセスメントに基づいて明確にリスクを認識しておらず、漠然とした不安を抱えている状況ではないでしょうか。」(KPMG 保坂氏)。
セキュリティリスクの認識不足から、工場のDXに投資できず、サイバー攻撃の脅威にさらされているかもしれません。この構造を根本的に変えていく必要があります。
今こそ経営リスクとして考えたい、OT環境のセキュリティ
第2回目以降は今後掲載予定です。
関連リンク
テナブル・ネットワーク・セキュリティ社と対談シリーズです。第1回にリンクします。2回目以降はリンク先からご覧いただけます。
