{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
重要インフラプラント業界におけるOTセキュリティ最前線(JGC)
2022-11-08
巨大プラントや大規模製造工場では、何よりも「安全性」が優先されます。OT(Operational Technology:制御・運用技術)のメンテナンスの不備によって機械が誤作動を起こせば、人命を脅かす大事故を引き起こしかねません。高度な安全性を維持し、さまざまなセキュリティ対策を徹底することは、重要インフラ業界にとっては大命題です。さらに近年は、OTとITを融合させ、運用管理の効率化や生産性向上を目指す取り組みも始まっています。最新デジタル技術の活用は、デジタルツインの実現などが期待できる反面、外部ネットワークとの接続が前提となるため、これまでとは全く異なるサイバーセキュリティ対策を講じる必要があります。しかし、製造現場にはサイバーセキュリティ対策の専門家が少なく、十分な対応を取れていない場合も多いのが現状です。
本稿では大規模プラントの建設プロジェクトをグローバルで展開する日揮グローバル株式会社(JGC)のプリンシパルエンジニアである武藤恒司氏と竹内陽祐氏をお迎えし、プラントのエンジニアリング事業におけるOTサイバーセキュリティの「今」について伺いました。またOTセキュリティ対策の変遷をはじめ、その背景や現場が直面している課題、その解決に向けたアプローチなど、OTセキュリティに今後取り組むうえで重要なポイントについて議論を深めました。
(本文敬称略)
対談者
日揮グローバル株式会社 プロジェクトソリューションズセンター
エンジニアリング本部 電気計装システム部
プリンシパルエンジニア
武藤 恒司氏
日揮グローバル株式会社 プロジェクトソリューションズセンター
エンジニアリング本部 電気計装システム部
プリンシパルエンジニア
竹内 陽祐氏
PwCコンサルティング合同会社 ディレクター
上村 益永
PwCコンサルティング合同会社 マネージャー
木佐森 幸太
(左から)木佐森 幸太、武藤 恒司氏、竹内 陽祐氏、上村 益永
ITとOTはお互いの常識が通用しない
上村:
最初にJGCが手掛ける事業内容を教えてください。
武藤:
JGCは世界80カ国以上、2万件に及ぶ大規模プラントのプロジェクトを遂行してきた総合プラントエンジニアリング企業です。1930年代より国内で数多くの石油精製・石油化学プラントを建設し、1960年からは南米、アフリカ、東南アジアを中心に海外市場へと進出しました。以降、グローバルエンジニアリング企業として、世界的な資源開発の根幹を担う海外インフラや、オイル&ガスの大規模プラントを手掛けています。
特にLNG(液化天然ガス)プラントでは、世界全体の生産量の30%以上を占めるプラントを設計・建設しています。海上プラントも数多く手掛けており、洋上で天然ガスの採掘・液化・出荷を行う「フローティングLNG」の約75%にJGCが関与しています。
木佐森:
90年も前からプラントなどのOTシステムを手掛けていらっしゃるのですね。そのお立場からご覧になったOTセキュリティとITセキュリティの違いについて教えてください。これまでOTシステムは独自の制御プロトコルを利用し、システムも現場ごとにカスタマイズされていました。外部ネットワークとは完全に分離していたため、「外部から攻撃される」という視点はありませんでしたよね。
竹内:
はい。これまでプラントのOTシステムは、プラント内部で完結した状態で設計されていました。JGCは巨大プラントをフルオーダーで開発していますが、そのほとんどが重要インフラのプラントです。OTシステムの運用で最も重要なのは、システム不備や誤作動によるトラブルで、火災や爆発などの深刻なインシデントを発生させないこと。一国のエネルギー供給に影響を及ぼすような事態になれば、社会情勢や世界経済に深刻なダメージを与えかねません。そうした経緯からも、OTシステムの構成は機能階層ごとに区分し、各層のシステム構成を慎重かつ丁寧に設計、検証しています。
木佐森:
OTに対してサイバーセキュリティ要求が寄せられるようになったのは、1990年代後半だと記憶しています。その背景には何があったのでしょうか。
武藤:
1つは、OTの世界でDMZ(DeMilitarized Zone:非武装地帯)境界防御の概念が広がったことが挙げられます。当時、プラントの運転履歴データなどをオフィスネットワークで部分的に活用する動きがありました。そうした時代を経て、2011年ごろからJGCが手掛けるプラントでもOTサイバーセキュリティ要求が組み込まれるようになりました。特に昨今のサイバー脅威の影響で、FEED(Front End Engineering Design※1)段階でセキュリティ要件の取り込みが求められる依頼も増加し、OTセキュリティ要件に準拠した提案が当たり前になっています。
竹内:
近年はお客様側でも「外部からの侵入をどのように防御するか」を検討し始めていらっしゃいます。これまでは「ファイアウォールによる境界防御」「内部ネットワークのトラフィック監視」というアプローチでした。しかし、サイバーセキュリティ対策として、「これをしておけば万全」というものは存在しませんし、これでは今後OTのオープン化の流れに伴って、高度化・巧妙化するであろうサイバー攻撃からシステムを守れません。
木佐森:
ご指摘いただいたアプローチは、ITセキュリティに共通する部分があると思います。では、ITとOTのセキュリティの違いを考えるにあたり、留意すべき点は何でしょうか。
武藤:
前提として考えなければいけないのは「お互いの常識が通用しない」ことです。DCS(Distributed Control System:分散型制御システム※2)やICS(Industrial Control System:産業用制御システム※3)は産業ごとに独自の標準的な製品の組み方があります。例えば、オイル&ガスプラントのガスタービンは「プラント用パッケージ」とも言える製品構成があり、プラント設計者の間ではそのパッケージを利用することが当たり前になっています。
しかし、外の世界ではそうした「業界の常識」は通じません。プラント業界にはサイバーセキュリティの専門家が少ないため、PwCのような業界外のサイバーセキュリティの専門家と協業する機会が増えますから、OTシステムにセキュリティ機能を組み込む場合、まずは業界外の人に「業界の常識」を伝え、その製品構成がセキュリティ的にどのような問題があるのかを話し合いながら詰めていくという作業が必要なのです。
上村:
「OTであっても業界が変われば常識が違う」という指摘は、非常に重要なポイントです。例えば、ITで「ファイアウォールで境界防御対策を講じる」と言えば、お互いの認識がずれることはありません。しかし、OTではIT向けのセキュリティ対策製品をそのまま実装できません。さらに言えば、同じ「ファイアウォール」であっても、オイル&ガス業界ではシステムベンダーや適応箇所によって、導入している標準的な製品が異なります。ですから、一口に「ファイアウォール」と言っても共通理解が得られない可能性があります。業界ごとに確立された“標準”に違いがあることを理解したうえで話し合わないと、目指すゴールは同じであってもちぐはぐな会話になってしまいます。
日揮グローバル株式会社 プロジェクトソリューションズセンター エンジニアリング本部 電気計装システム部 プリンシパルエンジニア 武藤 恒司氏
セキュリティとセーフティの融合とジレンマ
木佐森:
次にセキュリティとセーフティの融合について聞かせてください。先にお話しいただいたとおり、OTで最も重視されるべきは安全性です。そこにサイバーセキュリティを融合させるためには、どのようなアプローチが必要でしょうか。
竹内:
プラントの安全性を確保するうえで、デジタル世界のサイバーセキュリティ対策は無視できなくなっています。「プラントで事故が発生しないよう未然に防止する」「万が一、予期せぬ事故が発生した場合でも被害の影響を最小限にする」という安全計装の文脈においても、深刻な懸念の1つとしてOTシステムの脆弱性放置が挙げられています。
プラントでは「プラントを構成するコンポーネントを物理的な保護層(Layer of protection)に分け、各保護層の独立性を保持して安全を確保する」という思想があります。
まずはプラントのプロセス設計に本質的な安全性・健全性を取り込む。次にDCSによって安定した運転を維持する。この運転域を外れるとアラームによってオペレータの介入を促す。オペレータの介入が間に合わない場合、安全計装システムによってプラントを緊急停止させる。緊急停止を起動させても火災やガス漏れといった物理的な被害が発生した場合は、安全弁を吹かせ、防消火システムで火災およびガス漏れ対応を行う。その上で危険物を貯蔵するタンクからの漏洩対策として防油堤を設置する。このように、何層もの保護層が独立してプラントの安全性を作り上げています。
木佐森:
実はこうした「超安全重視」の構造を標準的に採用しているがゆえに、目に見えにくい脅威であるサイバーセキュリティ対策の新規導入が後回しになってしまうという傾向があるのです。
これまで問題無く操業を続けている既設設備を持つお客様の中には「各保護層で徹底した安全性対応をしているのだから、サイバーセキュリティ対策は必要ない」とおっしゃる方もいます。また、「サイバーセキュリティのスコープはプロセス制御・環境計測までで十分です。そこから上位は触れないでください」とおっしゃる方も少なくありません。
竹内:
しかし、プラントに対するサイバー攻撃によってプロセス制御が乗っ取られてしまうと、安全計装システムや防消火システムに誤作動が引き起こされてしまう可能性もあります。例えば、2022年7月に中東にある鉄工所で発生した火災は、外部から制御システムが乗っ取られたことが原因でした。このインシデントでは鉄工所内の監視カメラも乗っ取られ、溶けた鉄が溢れて火事になる様子が動画サイトに公開されてしまいました。もはや「閉じた世界だからサイバーセキュリティ対策は必要ない」という考えは通用しないのです。
【参考URL】https://www.bbc.com/news/technology-62072480
もっとも、安全を担保する緊急遮断システムに、デジタル通信が介在する余地の無いリレー回路のみからなるシステムを採用しているプラントもあります。しかし、こうしたオペレーションが今後も継続するかは疑問です。
武藤:
一方、現在は「リモート環境からプラントの稼働状況を把握したい」という要望が非常に多く、すでに遠隔監視を実施しているお客様もいらっしゃいます。また、生産性向上や運用管理の効率化といった観点から「DXに取り組みたい」とおっしゃるお客様も増えています。
遠隔監視やDXに取り組むなら、サイバーセキュリティ対策は必須であり、DCSやICSはセキュリティ機能を組み込むことを前提にシステムを設計する必要があります。
木佐森:
先ほどお話ししたように、国内の既設設備にサイバーセキュリティ対策の新規導入を検討する際に、お客様やDCSベンダーから「セキュリティ対応は難しい」と言われるケースも少なくありません。
竹内:
そうですね。外部ネットワークと接続しているOTシステムにおいて、特定のソフトウェアに深刻な脆弱性が発見された場合、修正プログラム(セキュリティパッチ)を速やかに適用しなければなりません。しかし、セキュリティパッチの適用やソフトウェアのアップデートによってシャットダウンのロジックが書き換えられてしまったり、安全計装システムの根幹部分に悪影響が及んだりしては大変です。OTシステムのソフトウェアに変更を加える場合には、これまで作り上げてきた物理的な安全性に影響を与えてしまわないか十分検討する必要があります。DCSベンダーにとって非常に大きなチャレンジとなる一方で、OTサイバーセキュリティを商機と捉えて積極的に導入しているベンダーもありますね。
上村:
既設の環境で遠隔監視やDXに取り組むにはセキュリティ機能の導入が不可欠ですが、実際には難しい作業です。以前、製造業のお客様から伺ったのですが、「OTを新設するタイミングで遠隔監視やDXに取り組みたい」「(新設OTは)今後30年間使うものだから定期的に構成を見直せるよう、ソフトウェアの構成変更や機能追加があることを前提に拡張性を持たせてほしい」といった要望がDCSベンダーに出始めているようです。
武藤:
OTセキュリティ対策はOTネットワークのシステム構成全体を理解し、各コンポーネントがどのような役割を担い、どのコンポーネントと連携しているかまで把握する必要があります。DCSベンダーとしてはこういったセキュリティ対策を、将来を見据えた拡張性を失わずに実現するという、これまでと異なる要件を求められるのですね。
日揮グローバル株式会社 プロジェクトソリューションズセンター エンジニアリング本部 電気計装システム部 プリンシパルエンジニア 竹内 陽祐氏
PwCコンサルティング合同会社 マネージャー 木佐森 幸太
OTセキュリティ対策で求められるのは応用が効く「知識」と柔軟な「現場力」
上村:
先ほど「DCSベンダーはサイバーセキュリティ対策ソリューションに商機を見出している」とのご指摘がありました。コンサルタントとしてOTセキュリティの導入をご支援する中で実感するのは、「ベンダーが提供しているOT向けセキュリティ製品知識やネットワークの機能を理解しているだけでは不十分であり、OTを動作原理レベルで理解して『どのようなセキュリティ対策を講じるべきか』までを設計に落とし込まなければならない」ということです。
しかし、そうした知見があり、かつプラント設計や現場のことも熟知していらっしゃる技術者や専門家はほんの一握りですよね。わたしもお客様にご支援をさせていただく中で、あらためて通信の基礎をおさらいしました。
武藤:
私たちが手掛けている大型プロジェクトではOTネットワークのシステム構成全体の設計はもちろん、それにかかわる調達・購入・検査・統合性能確認についても積み上げてきた知見があります。また、巨大プラントをフルオーダーでシステム開発しているので、ICSベンダーとも技術に関する意見交換をすることも少なくありません。ただし、そうした立場からしても、OTセキュリティ対策は一筋縄ではいかない部分があると痛感しています。
そうした状況で注目していただきたいのが、IEC(International Electrotechnical Commission:国際電気標準会議規格)への対応です。安全計装の考え方がプラントに入ってきた際には、その浸透に10年を要しました。しかし、技術革新のスピードが速いサイバーセキュリティでは「考え方を浸透させるのに10年かかる」では追いつけません。
竹内:
現在、OTの世界では規格に対する対応要求スパンが以前とは比較にならないくらい早まっています。例えば、工業用プロセス計測制御のセキュリティ規格である「IEC 62443」がリリースされたのは2009年ですが、2010年代には既に顧客要求に組み込まれていました。また、機能安全とセキュリティの両立を目指した規格である「IEC TR 63069」は2019年に発行されていますが、注目度が高く、近く顧客要求に取り込まれるのではないかと考えています。
木佐森:
「IEC 62443」はOTセキュリティの分野で最も参照されている国際標準ですね。「IEC 62443」に準拠していることを認証する「ISASecure」という制度がありますが、機器・システム・開発プロセスのそれぞれにおいて、少しずつ認証件数が増えてきています。また、サプライチェーンマネジメントの観点から、国際規格とは別に独自のセキュリティ認証制度を開始したクライアント企業もあります。
竹内:
IEC規格に則った管理体制を構築し、規格適合性評価を実施することは重要です。先に紹介した「IEC TR 63069」では、機能安全とセキュリティの両方を同時に考慮したシステム設計プロセスのガイダンスを提供しています。また、「IEC TR 63074」には、機械向け機能安全制御システムでのセキュリティ脅威や、対策面で考慮すべき事項が記載されています。
OTのDX化で求められる新たなセキュリティアプローチ
木佐森:
最後にOTのクラウド化について伺います。ITではクラウド環境への移行が進んでいますが、「OTをクラウド化したい」というニーズはあるのでしょうか。
竹内:
現在DCSベンダーは、その製造工程において、ハードウェアとソフトウェアを完全に切り離して、ソフトウェアをクラウドにおいて作り込むことで、ハードウェアの出荷がソフトウェアの出来に左右されないというスケジュールメリットをアピールし始めています。その延長線上として、制御コントロールOTシステムをクラウドに移行した場合、これまでの課題であったソフトウェアの脆弱性にパッチを適用するという作業はなくなります。一方、クラウド事業者側のトラブルで通信が途絶えた場合に備えてOSをバックアップし、ローカル環境でも一定の制御ができる機能を残すことも必要となるでしょう。そのバランスをどのように決めていくのかは、今後の論点です。その方向性が定まり、「OTのクラウド化」への道筋が立てば、ITで起こっている技術革新の恩恵をOTも享受できると考えています。
もう1つ、OTのクラウド化を考えるうえで重要なのが、お客様の「デジタルツイン」に対する要望です。プラントの保全活動を高度化してデジタル空間にコピープラントを作成し、モニタリングしたいという期待は大きいです。
武藤:
プラント業界でのデジタルツインに対する要求として代表的な2つを紹介します。1つはプロセス側の挙動をシミュレートする「プロセスツイン」です。プロセスを模したシミュレーターを作成し、DCSコントローラなどの設定変更に伴う影響を知りたいという要望です。もう1つは「メンテナンスツイン」です。3Dモデルなどでデジタル空間にコピープラントを作成し、運転データやプラントを構成するパーツの設計図、細かい部品名までを可視化する仕組みですね。
上村:
セキュリティの観点から見ると、デジタルツインの実現はハードルが上がります。今までは外部攻撃からOTシステムを守ることに注力すれば良かったのですが、デジタルツインを実現するには収集するデータの完全性も守らなければなりません。
情報セキュリティはデータを守ることを第一義に考えてシステムを構築しますが、OTセキュリティはプロセスを守ることが最優先です。デジタルツインの運用はこの考えを根本から変えて、「送信したデータの値は改ざんされていないか」「データ分析のロジックは改ざんされていないか」といった部分も管理しなければなりません。
武藤:
ご指摘のとおりです。デジタルツインを構築するデータが改ざんされてしまえば、シミュレーター内で稼働しているデジタルマシンデータと実際のマシンの稼働状況に差異が生じてしまいます。それに気付かずに現場運転員が操作をしてしまうと、システム停止や工場爆発といった最悪の事態に陥る可能性もあります。OTにおいてこの安全性に関わるハードルは非常に高く、ローカル環境外にプラントを操作・運転する機能を実装するには、ほぼ完全な形でのセキュリティが要望されることは想像に難くありません。
竹内:
デジタルツインをお客様に提案するには、私たちとITベンダー、そしてPwCのようなコンサルティング集団が一体となって取り組まないと難しいでしょう。デジタルツインには、これまで不可能だった遠隔監視・操作や故障予知などを実現できるという期待が寄せられている反面、概念が巨大すぎるという印象を与えています。デジタルツインに取り組むには、きちんと範囲を絞って歩を進めていく必要があると考えています。
今後プラントや工場デジタルツインのようなデジタルとフィジカルの融合が進めば、OTシステムが果たす役割も変化するはずです。これからはセキュリティ面だけでなく、制御の信頼性、リアルタイム性も踏まえ、OTシステムのアーキテクチャを根本的に見直すことになる時代に突入するのではないでしょうか。
安心して開かれたネットワーク環境をベースに、デジタル化の恩恵をOTの末端まで浸透させられるプラント構築を実現することがJGCの今後の目標ですが、そのためには新しい共働ネットワークを築き上げ、知的資本・社会資本の構築を推進する必要があると考えます。
上村:
デジタル化とセキュリティの両立はITでも課題ですが、OTではそこに安全性、信頼性、リアルタイム性といった要件も考慮する必要があります。クライアントや社会の要求が急速に変化する中で、この複雑な課題を解決するには、専門的な知見を持ったプロフェッショナル同士のコラボレーションがますます重要になっていくと理解しました。本日はありがとうございました。
PwCコンサルティング合同会社 ディレクター 上村 益永
※1 FEED……フィジビリティスタディにより決定された事業設備計画に沿って遂行されるプラントの基本設計役務。
※2 DCS(Distributed Control System/分散型制御システム)……工場やプラントを動かすための設備。監視・フィードバック制御やシーケンス制御などの機能を持つ計測制御用のシステム。
※3 ICS(Industrial Control System/産業用制御システム)……電力・ガス・水道などの公共インフラや、工場・プラントなどの生産設備を制御するシステム。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
