{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
ITとOT(Operational Technology)の融合が進む中、OTセキュリティを取り巻く環境は日々変化し、リスクも高まっています。しかし、OTのセキュリティ対策は十分と言えないのが現実です。その背景にはITとOTの考え方の違いや部門間の連携不足、コスト面での課題などが挙げられます。では、こうした状況を改善し、適切なOTセキュリティ対策を講じるにはどのような“現実解”があるのでしょうか。本セッションでは三菱電機株式会社 OTセキュリティ事業推進部の朝日奈 弘典氏を迎え、OTセキュリティの現状とその課題、対策のあるべき姿について議論しました。(本文敬称略)
対談者
三菱電機株式会社
OTセキュリティ事業推進部 アセスメントコンサルグループ グループマネージャー
朝日奈 弘典氏
PwCコンサルティング合同会社
パートナー
上村 益永
※法人名、役職、インタビューの内容などは掲載当時のものです。
左から上村、朝日奈氏
朝日奈氏
上村:
最初に三菱電機 OTセキュリティ事業推進部の業務内容について教えてください。
朝日奈:
OTセキュリティ事業推進部は2023年4月に発足しました。三菱電機はご家庭でお使いいただいている家電以外にも、FA(Factory automation)機器分野をはじめ、社会システム領域などでさまざまなビジネスを展開しています。OTセキュリティはFAや社会システムなどの幅広い領域に関係しています。
現在、三菱電機は「循環型デジタルエンジニアリング」を掲げ、お客様のデジタルトランスフォーメーション(DX)支援を事業の1つとしています。これまでは機器やシステムの販売といった「モノ売り」の側面が強かったのですが、今後はソリューションでお客様を支援する「コト売り」も強化していく方針です。
三菱電機グループには金融業を中心にITセキュリティソリューションを提供してきた実績や、FA機器ベンダーとしてOT制御の領域でビジネスを展開してきた強みがあります。OTセキュリティ事業推進部は三菱電機がこれまで蓄積してきたノウハウにセキュリティベンダー各社の知見をかけ合わせ、お客様のDX推進で課題となるセキュリティリスクへの対応を支援しています。私自身は経験者採用ですが、FA機器の製品セキュリティ対応推進を経て、OTセキュリティ事業には立上げ当初から携わっています。
上村:
早速ですが、2023年のOTセキュリティインシデントについて伺います。2023年を振り返ってみると、記憶に新しいのは港湾施設でのインシデントで、数日間にわたってコンテナの積降ろしやトレーラーへの積込みができないといった事態が生じました。
OT環境のICS(Industrial Control System)に関するインシデントは、IT環境のそれと比較して数こそ多くないものの、1度発生すると致命的な状況を生むためリスクが高いです。朝日奈さんはこうした状況をどのように捉えていますか。
朝日奈:
OT環境は従来、外部と接続されていないため安全とされてきました。しかし、DXの推進により、OTで生成されるデータをITと連携させて有効活用していく動きが活発化しています。こうした連携に伴い、新たなサイバーセキュリティリスクが生まれています。つまり、ITをしっかり守っていればよかった時代から、ITとOTの両方でサイバー攻撃の脅威に備えなくてはならない時代になったのです。DX推進の形としては、例えば、ITとOTを連携させてセンサーデータをクラウドで管理したり、リモートメンテナンスをしたりするパターンがあり、それぞれ新たなセキュリティリスクをもたらします。
上村:
現在、OT環境でもクラウドは使われていますが、IT環境のクラウドセキュリティルールがOT環境には適用されていないというケースがあります。セキュリティ対策が正しい構成で導入されているとOT環境の開発者が思っていても、実際には最新の脅威には対応できていないなど、IT環境では対策済みのリスクがOTに潜在しているというケースも少なくありません。
朝日奈:
FA機器ベンダーとして工場現場の方からお話を伺う機会は多く、「クラウド上でOTデータを利活用したい」という相談をよく頂戴します。しかし、システム部門からクラウド利用時のセキュリティガイドラインを提示され、「クラウドを使いたいならガイドラインに対応しないと許可できません」と言われると、セキュリティに明るくない現場の方は二の足を踏んでしまい、結果的にDXがうまく進まないこともあります。
上村:
そうした状況を踏まえ、情報処理推進機構(IPA)やJPCERTはOTセキュリティや制御セキュリティに関するガイドラインを整備し、民間企業の活動を後押ししています。また、経済安全保障推進法では、基幹インフラ事業者に対してセキュリティ要件を満たすよう求めています。重要設備の維持管理に関するセキュリティ管理措置の徹底は、今後も強化されていくと考えています。
上村:
次にOTセキュリティを取り巻く状況について見解を聞かせてください。OTセキュリティ支援で強く感じるのは、「これは超大企業だけの課題ではない」ということです。例えば、水道事業は超大企業が運営しているわけではありませんが、供給される水質の安全性がセキュリティ問題により損なわれれば、社会全体が大混乱に陥ります。これまでセキュリティを後回しにしていた組織も、早急に対策を講じる必要があります。
朝日奈:
OTセキュリティには、ITとは異なる固有の難しさがあります。ITの常識がOTでは通用しないことがあり、アンコンシャスバイアスに注意しないと間違った方向に進んでしまう可能性があります。
まず、ITとOTでは重きが置かれるセキュリティの目的が異なります。ITではデータの利活用促進のために利用され、主に情報漏洩防止の観点でセキュリティを維持しますが、OTでは生産性や品質向上、製造原価低減のために活用され、主に稼働継続の観点でセキュリティを維持します。使われている技術もITはオープン化が進んでいますが、OTは独自性を保っているケースが多いです。
また、リスクへの対応も異なります。ITではセキュリティに関するリスクが認知され、セキュリティのための計画停止やパッチ適用が許容されますが、OTでは止めないことが優先され、セキュリティのためにシステムを止めることは受け入れられにくいです。装置ベンダーが脆弱性対応のパッチを提供していても、安定稼働への影響を懸念する導入企業がパッチ適用をためらうケースもあります。OTでは「故障なく無事に稼働し続ける」ことが重要視される傾向にあります。
さらに、ITとOTでは機器の更新頻度やアプリケーションの標準化の度合いも異なります。ITでは3年から5年ごとに更新が入り、標準化も進んでいます。しかし、OTでは10年から20年は使い続けますし、工場ごとに異なる装置が導入されています。ITでは外部のシステムインテグレーターに一括で機器管理を委託するケースが多いですが、OTでは工場ごとに異なる装置ベンダーの装置を導入しているため、複数の外部委託先が存在することが多いです。このような複雑性が、OTセキュリティ対策を困難にしている一因だと考えられます。
上村:
複数のベンダーの装置を導入したり、独自の改造を加えた装置で製品を製造したりすることは、独自の製品を生み出す原動力であり、競争力の源泉となります。しかし、セキュリティの面で考えると、それがネックになってしまいます。例えば、インシデント対応において全ての製造ベンダーの連絡体制を整えることは難しいでしょう。ユーザー企業がリスクマネジメントをしたいと思っても、リスク管理に必要な基本的な部分が欠如していると感じています。
左から上村、朝日奈氏
左から上村、朝日奈氏
上村:
リスクマネジメントについてもう少し深掘りします。PwCが2023年11月に実施した国内企業向けOTセキュリティの実態調査(※)によると、82%の企業が自社のOT環境の資産を把握できていないことが明らかになりました。資産把握はさまざまなガイドラインでも最初に行うべき重要な取り組みとされていますが、現状ではできていない、という結果でした。
※有効回答者社数299社。
不思議なのは、資産管理を実施していない82%の企業のうち、45%が「必要なOTセキュリティ対策を把握している」と回答したことです。実際のリスクを見ずに「これをやっておけばよい」という誤解が広がっているのではないかとの懸念があります。
現状を理解したうえでリスク対応を行わないという判断は、リスクマネジメントとして正しいと思います。しかし、現状を理解せずに対策を怠れば、重要なリスクを見過ごしてしまう可能性があります。好意的に解釈すれば現場の方々は経験的にセキュリティリスクの所在を認識しているのかもしれません。しかし、この調査結果は、日本企業のOTセキュリティ対策の現状に危機感を覚えさせるものでした。
OT市場は今後も年率6.5%で成長すると予測されており、GXなどさまざまな変革がすでに始まっています。しかし、現状のリスクマネジメントでは、こうした変革においてリスクの考慮が十分ではありません。ビジネスに直接貢献する変化が優先され、リスクマネジメントが置き去りにされる状況はITでも起こっていました。OTでも同じ轍を踏むのではと危惧しています。
朝日奈さんは100社以上の企業の現場でお話しされていますが、現場ではリスクマネジメントをどのように捉えていますか。
朝日奈:
OTセキュリティのリスクマネジメントでは、「People」「Process」「Technology」の三位一体で対応策を進めることが重要です。特に「People」と「Process」の部分は強化が必要です。
例えば、「People」の視点でOT組織体制を見ると、情報システム部門は本社に、生産技術部門は現場にあるのが一般的です。ITではIT資産管理もルールやガイドラインの整備も情報システム部門が担当する一方で、OTではOT資産管理は現場製造部門、ルールやガイドラインは情報システム部門というように乖離が生じがちです。
乖離が生じがちだからこそ、OTのセキュリティ対策には製造部門と情報システム部門の両方が関与する必要があります。
「Process」についても、リスクマネジメントの基本はアセスメントですが、OTではそもそもアセスメントをするプロセス自体が整備されていないケースがあります。OTセキュリティの相談を受けたときには、まずリスクの可視化を目的に、アセスメントを提案しています。
また、「Technology」の面でも、ITの一般的な対策をOTに適用するのは難しいケースがあります。例えば、資産管理をする場合、ITではエージェントソフトをインストールして情報収集するのが一般的ですが、OTではそもそもエージェントをインストールできないことが少なくありません。ネットワーク越しにスキャンする手法も、OTでは装置の稼働停止の懸念があることから実施できないこともあります。
セキュリティ対策やリスクマネジメントを確実に進めるには、アセスメントでリスクを可視化し、優先順位を決めたうえで対応することが成功の近道だと捉えています。
上村:
情報システム部門と製造部門では、リスク管理へのアプローチに違いがあり、問題が発生しやすい傾向があります。情報システム部門主導の場合、ネットワーク対策のみに注力し、設備レベルの対策が疎かになることがあります。一方、製造部門主導では、資産の全容を把握していないにもかかわらず、セキュリティ対策が十分だと過信してしまう傾向があります。
外部から支援を行う際、情報システム部門と製造部門の間の”ギャップ”を頻繁に感じます。例えば、IT系ベンダーが製造部門を訪問した際、「言っていることが理解できないので話したくない」と言われたり、IT系製品・サービスの価格体系がOT環境に適合しなかったりするという問題が発生します。セキュリティベンダーは多数存在しますが、OT現場の担当者から見ると、適切なベンダーは限られています。知見やソリューションは存在するにもかかわらず、自社で活用できるソリューションがないと考えている現場の担当者が多いという印象を受けます。
朝日奈:
FA機器ベンダーの立場としては言いにくい面もありますが、OTへの投資は設備投資と捉えられる傾向があり、初期投資後はランニングコストを抑制しがちです。対照的にITではランニングコストへの理解も浸透しています。この考え方の違いが、セキュリティ対策への投資の難しさに影響を与えているのかもしれません。
上村:
おっしゃるとおりです。ランニングコストを確保できないと、パッチ適用などの運用面でのサポートが難しくなります。機器などのアセットは継続的かつ一元的な管理が求められますが、そのような取り組みは現状では困難です。根本的には業界の商慣習が影響しているため簡単には変えられませんが、この状況を打破して対策を進めていく必要があります。
朝日奈:
OTに限らず、セキュリティ対策において注意すべき点は「セキュリティ自体が目的化すること」です。そのような状況に陥ると、必要以上にコストがかかったり、不必要な部分に過剰な対策を講じたりすることが想定されます。DXを推進する際には、その目的に応じて最適なセキュリティ対策が求められます。特にデータの信頼性を確保するためには、稼働停止に対する備えに加え、データ改ざんにも備えるなどの細心の注意が必要です。
セキュリティ対策を進める過程では、資産の可視化などの副次的な効果も期待でき、それらもDXの推進に役立つはずです。したがって、ベンダー側としてはリスク基点のセキュリティの必要性に加え、セキュリティ対策を行うことで得られるうれしさもアピールしていくことが重要だと考えます。
上村:
最後に、本セッションのタイトルでもある「OTセキュリティの現実解」について伺います。私は万能な解決策はないと考えていますが、いくつかのヒントはあると考えます。それは、「社内外を問わず、さまざまな人の知恵を集めてオープンに連携していくこと」と、「自社ができるやり方で、まずは実践してみること」です。
先述のPwCの調査によると、59%の企業がOTセキュリティの強化によってインシデントによる機会損失を防げると理解し、40%の企業が顧客要請に応えることで競争優位性を得られると考え、28%の企業が投資家の信頼を得られると考えていました。つまり、ビジネス上のメリットは理解しているにもかかわらず、対策が不十分だという状況です。
これを解決するには、コンサルタントやセキュリティベンダーなどの支援者が連携して彼らをサポートすることです。なぜなら、先ほども述べたように、実は解決のための知見やソリューションは存在していても、企業の担当者には自社で活用できるものはないように見えてしまう状況があるからです。このようなサポート体制を構築すれば、全ての関係者にとって有益な結果が得られるのではないでしょうか。
朝日奈:
そうですね。当社としても、OTセキュリティの分野を自社だけで担うのではなく、社外とのコラボレーションを行うことを検討しています。FA機器ベンダーとしてお客様のものづくりを支援する立場でもあるため、当社の強みとセキュリティベンダーの強みを組み合わせることで、お客様のセキュリティ対策に貢献できるよう、今後も連携を強化していきたいと考えています。
上村:
本日はありがとうございました。
左から上村、朝日奈氏