デジタル化する工場や研究所のサイバーセキュリティ―OTセキュリティの課題と解消に向けたアプローチ（Nozomi／Tenable／TXOne）

組織が抱えるOTセキュリティの課題とは

茂山：
最初にOTセキュリティを取り巻く現状を整理させてください。右の図はOTセキュリティが抱える課題とその対策です。IT環境と比較してすぐに脆弱性を修正できないOT環境は、攻撃者にとって攻めやすい環境です。特に近年はサプライチェーンの中で自社では対策を講じられない中堅・小規模企業の製造ラインや海外の工場が攻撃ターゲットになっています。

最初にお伺いしたいのですが、皆さんのクライアントはOTセキュリティをどのように捉えていらっしゃいますか。

芦矢：
クライアントの傾向として、OTセキュリティを促進するポイントは以下の3つがあると捉えています。

1.政府からのガイドラインおよび指導
2.セキュリティインシデント発生の対応
3.DXの推進

現在は製造系企業でもDX推進室といった専門部署を設け、生産現場に対してさまざまな指示を出す企業も少なくありません。生産現場でもそうした要望に応えるべく、目的意識を持って対応されています。

ただし、日本と海外の工場を比較すると、日本のOTセキュリティはスモールスタートになっている印象です。欧米企業では本社の決定に従って全社展開が一気に進みます。翻って日本の場合は工場長や生産部門のトップがイニシアチブを取るため、少しずつ歩を進める傾向にあります。

宮嵜：
私たちのクライアントを見ると、重要インフラ14業種（※）に属する企業は積極的にOTセキュリティに取り組んでいます。一方、人材や予算のリソースをシステムの運用・維持管理などに優先的に割くため、十分なリソースがなく、追加対策ができないという課題もあります。経営層がセキュリティ対策をコストと捉え、「売上に直結しない領域には予算を割かない」と判断するケースですね。

また芦矢さんもご指摘されたとおり、管理責任が各生産ラインに委ねられ、全体を統括するセクションやチームが組成されていないといったケースもあります。これでは課題解決に時間がかかるだけでなく、どこかで抜けや漏れがあっても把握できなくなってしまいます。

今野：
私たちもグローバルでビジネスを展開していますが、欧米企業は意思決定のスピードが圧倒的に速いです。それには経営層のリーダーシップとサイバーセキュリティに関する危機意識、社内におけるサイバーセキュリティの優先順位に違いがあると感じています。

もう1つは日本企業におけるシステム構築・運用のあり方の違いです。日本ではシステムの構築・運用・保守をSIerやパートナーに頼るケースが多く、企業内に自社システムやサイバーセキュリティに関するノウハウが蓄積されていないのです。そうした背景も、諸外国に比べてスピード感が鈍っている要因だと感じています。

^{※重要インフラ14業種……国民生活や経済活動の基盤となるインフラであり、機能停止よって国民生活に大きな混乱を招くと見込まれるもの。日本政府は「情報通信」「金融」「航空」「空港」「鉄道」「電力」「ガス」「政府・行政サービス（地方公共団体を含む）」「医療」「水道」「物流」「化学」「クレジット」「石油」を重要インフラとしている。
【参考】https://www.nikkei.com/article/DGXKZO40052720W9A110C1EA2000/?n_cid=DSREA001}

多くの企業が悩む「どこにある・何を・どのくらいの“強度” で守るのか」

茂山：
次に現場のモノに関する課題についてお伺いします。右図は何らかのモノが攻撃された場合の対処について、その課題と解決策をまとめたものです。攻撃防御やインシデント検知の課題として挙げられるのは、「守るべきモノの優先順位や範囲が決められない」「ITと比較してOTは停止させられず、セキュリティ対策の導入が難しい」「アタックサーフェイスが多種多様であるためインシデント検知が難しい」などです。

宮嵜：
ご指摘のとおりです。「防御範囲やインシデントの特定」の観点でお話しすると、私たちの独自調査でも、守るべきシステムや場所（範囲）の特定について悩みを抱えている企業は多いという結果が出ています。例えば、防御すべきシステムとして管理しなければならない範囲でも、定期的に脆弱性スキャンを実施するといった対策を講じている企業は半数以下です。

こうした課題を解決するには、可視化が不可欠であると考えています。物理的な資産の可視化だけではなく、そこに内在するセキュリティ上の脅威や脆弱性情報も可視化して管理し、どの脆弱性に即時対応すべきかを正確に把握します。そしてそれらを定期的に監視することで、安定稼働している状態から逸脱した場合に異常を特定できるのです。

茂山：
次に今野さんにお伺いしたいのですが、「防御」の観点ではいかがでしょうか。

今野：
まず、OT環境に対するセキュリティ対策は、IT環境とは異なるアプローチが必要であることを理解しなければなりません。私たちはOT環境に対するセキュリティのコンセプトを「OTゼロトラスト」と呼んでいます。資産のあらゆるライフサイクルのステージで「常に疑い・常に検証していく」というアプローチです。つまり「オンボーディング」「ステージング」「製造」「メンテナンス」のライフサイクルごとに、各デバイスを常に疑って、逐一検証することが重要だと考えています。

茂山：
施策のライフサイクルに「オンボーディング」も包含するということは、出荷前の段階からマルウェアを検査するということですよね。具体的にはどのようなことを実施するのですか。

今野：
USB型セキュリティ装置による出荷前検査です。例えば、ハードウエアベンダーがランサムウェアに感染している古いOSを基盤として採用しており、そのハードウェアを工場内ネットワークに接続したところ、システムがランサムウェアに感染してしまう可能性があります。

この場合、古いOSを採用しないことも重要な対策の1つですが、OTの場合には何らかの理由で古いOSを採用せざる得ないこともあります。ですから「古いOSはウイルス感染の可能性がある」と常に疑い、検査をしてから納入することを推奨しています。

茂山：
芦矢さんにお伺いしたいのですが、OTシステムに対する攻撃は「検知」が難しいと言われています。この課題にはどのように取り組めばよいとお考えですか。

芦矢：
はい。OTネットワークにおける検知すべき異常や脅威を、これまでの経験則を踏まえて説明します。右図はOTネットワークにおいて検知すべき異常や脅威をまとめたものです。

ここで注目していただきたいのは、一番右側にある「未知のふるまい」です。例えば既知の脅威への対策は、ファイアウォールやスイッチなどが挙げられます。しかし、未知のふるまいは捉えることが難しく、迅速な対応ができません。

私たちは、OT環境においてもゼロデイ攻撃に対応できるようにする必要があると考えています。そのためには新しいデバイスや通信、プロトコル、コマンド、プロセス変数だけでなく、機器の通信の値までを可視化し、通常とは異なるふるまいがあれば、すぐに対応できるよう準備しておく必要があります。