工場やプラント、社会インフラを司る制御システムやOT(オペレーショナル・テクノロジー)は、長年にわたって「他のネットワークにはつながっていないから安全だ」と見なされてきました。しかし前回の記事で解説したとおり、製造業を中心とするDX(デジタルトランスフォーメーション)の波が高まるにつれ、この前提は崩れ始めています。
しかもOTの場合、ITシステムでの侵害以上に深刻な被害が生じます。もちろん情報漏洩や金銭的被害も深刻な事態ですが、OTシステムがサイバー攻撃を受けると、人命や実社会に影響が及びかねないことは、水道システムやパイプライン、医療機関のシステムを考えただけでも明らかです。こうした問題を認識し、OTへのサイバー攻撃を経営リスクの1つとしてとらえ、対策に取り組む必要に迫られています。
しかし、OTにおけるセキュリティ対策を検討する際には、OT特有の文化や事情を考慮しなければなりません。ITシステム向けソリューションのなかには有効な対策もありますが、OTならではのセキュリティマネジメントの在り方を考慮することで、より効果を発揮することができるでしょう。
シリーズ2回目となる今回は、そのポイントについて、KPMGコンサルティング(以下、KPMG)のシニアマネジャーである保坂 範和と、テナブル・ネットワーク・セキュリティ社(以下、テナブル社)のセキュリティエンジニアである叶岡 衛氏に伺いました。
何が違う? ITセキュリティとOTセキュリティのプライオリティ
具体的に、OTとITにはどんな違いがあるのでしょうか。
テナブル社の叶岡氏は、「特に工場では、ナレッジはもちろん、現場のネットワーク環境や設定情報をアーカイブし、蓄積していく文化が希薄でした。あまりありませんでした。基本的にクローズな環境であり、誰かの頭の中に情報があればよかったからです」と指摘します。
これに対しITではナレッジをコモディティ化し、インテリジェンスとして共有していくやり方が一般的であり、まずそこにギャップがあることを認識する必要があるでしょう。
2つ目は、安定して稼働し続けることが何より優先されるため、製品やソリューションのライフサイクルが非常に長いことです。OT環境は閉じた環境だという過去の前提も相まって、一度導入されたシステムが5年、あるいは10年といった単位で動き続けることも珍しくありません。
「ITの世界では2〜3年もすれば製品が入れ替わり、テクノロジーもソリューションもインテリジェンスもアップデートしていきますが、その考え方をそのままOTの世界に持っていってもうまくはまらない可能性が高いでしょう。」(テナブル社 叶岡氏)
KPMGの保坂もやはり、OTの世界の特徴として、可用性が重視される文化を挙げます。
「OT環境のリスクアセスメントではどんな被害があり得るかを洗い出していきますが、そのなかで一番重視されるのが可用性です。いかに工場の生産ラインを止めないか、出荷を止めないかを起点にして対応を考えていくことになります。」(KPMG 保坂)
このため、一般にITシステムで実施されている機密性重視の対策をそのままOTの世界に入れようとしても、OT環境で守ろうとしているものとの間にギャップが生じる恐れがあります。
「システムを止めないことを重視しているのに、情報漏洩のための対策をしても意味がありません。OTに合わせた対策を実施しなければいけないのですが、それに必要なOTのセキュリティに関する知識や体制が足りていない状況です。」(KPMG 保坂)
逆もまたしかりで、OTの現場におけるセキュリティに関するナレッジやインテリジェンスの不足も課題です。可用性を重視する文化も相まって、「現場では、セキュリティパッチの適用やアップデートが必要な機器があるという認識も弱い部分があります。このため、セキュリティ運用に費用を払うというところまでモチベーションも上がらず、それが機器ベンダーの対応が追いついていない要因の1つかもしれません。」(KPMG 保坂)
なお、KPMGがまとめた「サイバーセキュリティサーベイ2022」によれば、OT環境でのセキュリティ対策が遅れている理由のうち最も多い回答は「知見のある実務担当者が足りない」で18.8%、次に「対策を主管する組織がはっきりしていない」(14.9%)、「人的リソースが不足している」(13.7%)といった回答が続きました。とにもかくにも、知識を持った人材不足に悩んでいる状況が窺えます。
もちろん、OT環境のセキュリティ対策に取り組み始めた企業もありますが、その多くは、可用性を損なわないことを重視し、機器に手を加えないことを前提にしたネットワークでの対策が中心となっています。前述したKPMGのサーベイでも、OT環境で「十分」あるいは「ある程度」できている対策として、無線ネットワーク対策とネットワークセキュリティ対策が挙げられており、それ以外の対策はまだこれからという段階です。
制御システムセキュリティ対策の実施状況
ITだけでもOTだけでも不十分、双方が連携しての取組みが不可欠に
ネットワーク側での対策が無意味というわけではありません。ただし、ITとOTのつながりが広がってきている以上、ネットワークでの対策だけで万全とは言いがたいのも事実です。特に近年では、ITシステムに何らかの手段で侵入し、高い権限を奪った上でOTシステムに侵入したり、リモートコントロールを行って目的を達成しようとしたりする攻撃が報告されています。
こうした脅威の高度化を踏まえると、これまでのOTセキュリティの考え方を変え、もう一段踏み込んだ対処が必要になってくると言えるでしょう。
「まず、可用性と機密性の優先順位を変えるとまではいかなくとも、バランスの取り方を見直すべき時期に来ているでしょう。稼働第一でセキュリティは後回しという考え方一辺倒では、もしサイバー攻撃を受けてOTのネットワーク全体が停止してしまった場合のインパクトが甚大なものになります。」(テナブル社 叶岡氏)
2つ目に必要なのは、ITとOTが連携し、組織全体としてどのように対応していくかを考えることです。
「工場セキュリティの検討に着手しても、本社のIT部門はセキュリティのことはわかっても、OT、工場のことはわかりません。逆に工場では現場には詳しいものの、セキュリティの知識は足りません。この2つの部門がしっかり連携し、情報を共有して動いていかなければ、セキュリティ強化は進められません。」(KPMG 保坂)
KPMGの「サイバーセキュリティサーベイ2022」では、セキュリティ対策を推進する体制が課題であるとする結果が出ていますが、それは「経営層も含め、トップダウンでセキュリティに取り組む方針を打ち出している会社はうまくいっています」(KPMG 保坂)ということでもあります。経営層が関与し、主幹の部署を明確にして、予算も含めた裏付けのある形で対策を進めていけば、時間はかかるかもしれないがうまくいくという意見もあります。プロセスの進め方に不安がある場合には、第三者をうまく巻き込み、外部の意見を取り入れながら進めていくことも有効でしょう。
こうした体制が整えば、いよいよ「工場内にどのようなIT資産とOT資産があるのか」「ネットワーク構成はどうなっているのか」を把握・可視化して、OTセキュリティの具体的な第一歩を踏み出せることになります。これまで「クローズドな環境でどこに何があるかよくわからない、あの人に聞けばわかるけれど…」となっていたものを可視化し、OTシステムのどこに何があるかを把握し、それぞれのリスクを分析していくことで、具体的な対策につなげることができるでしょう。