OTとITの違い

OTとITの違い

OT(Operational Technology)は製造業・社会インフラの「制御・運用技術の総称」

OT(Operational Technology)とは、工場や発電所などに使われる、物理的なシステムや設備を最適に動かすための制御・運用技術の総称です。具体的には、製品や部品の製造を行うロボットや、工場でのセンサーによる温度監視などの用途があります。

OTが使われるのは、基本的に工場や発電所などの閉じられた環境、つまり「クローズド」です。代表的なシステムとしては、外部機器を自動制御する「PLC(Programmable Logic Controller)」や工場やプラントで使われる分散制御システムの「DCS(Distributed Control System)」、管理制御およびデータ収集システムの「SCADA(Supervisory Control and Data Acquisition)」などが挙げられます。

IT (Information Technology)はコンピューターや通信などの「情報技術の総称」

IT (Information Technology)とは、情報通信技術やコンピューター技術の総称であり、スマホやPCなどを総括した「ハードウェア」、アプリケーションやOSなどを総括した「ソフトウェア」、インターネット接続などを例とする「通信技術」の3種類に分類されます。

OTのように、限られた業種や環境で使われるものではなく、さまざまなビジネスのほか、一般消費者にも幅広く普及している点が特徴です。

OTシステムのセキュリティが注目を集めている背景

OTシステムのセキュリティが注目を集めている背景

ITとOTの連携が進んでいる

従来のOT環境では、インターネットとつながることはなく、閉域網やスタンドアローン環境で稼働することがほとんどでした。そのため、サイバー攻撃や不正アクセスのリスクが低く、セキュリティ対策も必要ありませんでした。

しかし近年は、業務効率化や情報共有の必要性から、製造業やインフラの現場でも、IoTやクラウドなどITの技術をOTと連携させる取り組みが進んでいます。現場を含めたサプライチェーン全体の情報共有をもとに、無駄を省いて必要量だけを適切に供給するスタイル、いわゆる「スマートファクトリー」に転換されつつある状況です。

ITとOTの連携により、業務の効率化やコスト削減が進んでいる中、クラウドなどのオープンなネットワークを使うことは、サイバー攻撃の脅威にさらされるリスクが高まります。

サイバー攻撃が増加している

スマートファクトリー化の発展により、実際に国内外問わず、製造業やインフラへのサイバー攻撃が増加しています。

アメリカでは、ある生活インフラに関わる会社が、ランサムウェア攻撃を受け、数日間操業を停止せざるを得ない事態に陥ったことがあります。「ランサムウェア」とは、システムをウイルスに感染させて使用不能にし、その解除を目的に身代金を要求するものです。結局、企業が身代金を支払うことで事態は収束しましたが、国民の生活に直結する生活インフラが数日間停止したため、多くの人の生活に支障をきたしました。
日本でも、サイバー攻撃を受けた影響である工場が1日稼働を停止したことがあります。

工場やインフラは、たとえ1日だけでも稼働を停止すれば、大きな影響を及ぼしかねません。それゆえ、簡単にサイバー攻撃を受けない、強固なセキュリティ対策の整備が喫緊の課題として挙げられています。

OT環境が抱えるセキュリティ上の課題

アップデートが難しい

サイバー攻撃の手口は、年ごとに巧妙化しています。それに対抗するためには、一度セキュリティ対策を施しただけで終了するのではなく、定期的にソフトウェアのアップデートや、脆弱性を解決するパッチの適用などで更新しなければなりません。

しかし、アップデートやパッチの適用には、24時間365日稼働しているシステムを一旦停止する必要があり、頻繁に行うと人々の生活や企業活動に多大な損害が発生します。その理由から、容易には行えないことが実情です。

OSのバージョンが古くセキュリティの脆弱性がある

先述したように、OTのアップデートはITのように容易ではないため、なかなかアップデートを行えず、OSのバージョンも古いままになっているケースが少なくありません。

また、古いOTは閉域網やスタンドアローン環境で稼働していたので、充分なウイルス対策は施されておらず、セキュリティに脆弱性が発生しやすくなっています。それゆえ、サイバー攻撃や不正アクセスの格好の対象となり得ることから、被害を受けるリスクが高いです。

デバイス接続によるウイルス感染の懸念がある

OTシステムのアップデートやメンテナンスには、USBメモリーのような外部デバイスを接続したり、普段つなげないメンテナンス回線が使われたりします。その際、USBメモリーやメンテナンス回線を介して、ウイルスに感染するリスクがあります。

OTネットワークは、元々接続しているデバイスを管理しにくい上、最近では接続デバイスもUSBやPC、タブレットなど多様化しています。そのため、ウイルスに感染してしまうと端末の特定が難しく、対応に手間取っている間に被害が拡大しかねません。外部デバイスを接続する場合は、接続している端末をすべて把握できる対策を施した方がよいです。

IT管理者（情シス）がシステム構築を把握できていない

OTは閉域網で稼働するため、従来はITとは切り離されて考えられており、情報システム部門を介さないシステム構築が行われることが大半でした。その関係性は、OTとITの連携が進んでいる現代でも変わらず、産業プラントのシステムなどでは、IT管理者が関わっていないケースが多々見受けられます。

そうした現場では、未だにOTの管理はOT管理者のみが担っており、IT管理者は蚊帳の外です。IT管理者はOTシステムの内容すら把握できないので、セキュリティ対策も後手に回ってしまいます。

また、OTとITの連携が進んでいても、管理責任の所在がはっきりしていない現場も多い状況です。今後はOT部門とIT部門が連携し、どこがセキュリティ対策の管理責任を担うのかを明確にすることが望まれます。

OTのセキュリティ対策のポイント

OTのセキュリティ対策のポイント

ITセキュリティ対策との違いを理解する

セキュリティにおいて、OTとITでは要素の優先順位が異なります。情報セキュリティの重要な要素を示す言葉に、「CIA」があります。これは「Confidentiality（機密性）」「Integrity（完全性）」「Availability（可用性）」のそれぞれの頭文字を取ったものです。

このうち、ITセキュリティで最優先される要素は機密性です。セキュリティにおける最大の目的は、情報漏洩の防止であることから、一般的な状況では、機密性が最優先になることは必然的だと考えられます。

しかし、OTセキュリティの最優先すべき要素は可用性です。可用性とは、システムや情報をいつでも使えることを指します。産業プラントや社会インフラは停止すると損害や影響が大きくなるため、システムを停止せずにセキュリティ対策を施すことが最も重要です。

OT環境を可視化する

OTでは、「どのような機器が使われているのか」「外部との接続はあるのか」など、基本的な構成や環境が把握されていないケースが多々見受けられます。機器や接続の存在が認識されていない場合、想定外の外部との接続や通信が発生するなどの要因により、システムの脆弱性につながる可能性があります。

そのため、セキュリティ対策を施す上では、まずどのような機器がどのようにネットワークに接続されているのかを可視化することが重要です。機器名やベンダー名だけではなく、インストールされているOSやソフトウェア、ネットワーク構成、通信トラフィックなども可視化しておくことで、脆弱性のリスクがある部分を事前に把握しやすくなります。

さらに、機器や通信の通常の状態を把握した上で、システム内の継続的なモニタリングも必要です。そうすれば、何らかの変化が発生した際にすぐに気付き、サイバー攻撃による侵入や攻撃にも迅速に対応できます。

OT環境に影響を与えないセキュリティ手法を選ぶ

先述したように、OTセキュリティの最優先すべき要素は可用性です。つまり、稼働中のOTシステムをメンテナンスにより頻繁に停止したり、誤検知により突然停止したりするセキュリティ手法は適していません。

また、OTシステムはITシステムのように、検証用の環境を別に作ったテストを行えないため、セキュリティ対策が既存のOT環境に与える影響を、事前に把握することが困難です。したがって、既存のOT環境になるべく影響を与えないセキュリティ対策を選ぶことをおすすめします。

運用しやすいセキュリティガイドラインを策定する

OT部門とIT部門の連携が充分ではない企業が多い現状では、セキュリティ対策はできるだけ、運用しやすいシンプルな仕組み・ルールで行う必要があります。なぜなら、責任の所在がはっきりしなかったり、運用の仕組みが複雑だったりすると、万が一の場合に迅速に対応できなくなるからです。

また、OTシステムにサイバー攻撃や不正アクセスなどが発生した場合の連絡先や連絡手段、対応方法などのフローを明確にした、セキュリティガイドラインの作成も重要です。具体的なマニュアルを共有すれば、万が一の場合の迅速な対応により、被害を最小限に抑えられます。

IT人材の育成やセキュリティ対策強化を目的とした活動を行う「独立行政法人情報処理推進機構(IPA)」は、OTのセキュリティ対策を促進するため、「ドイツ連邦政府 情報セキュリティ庁(BSI)」が作成した資料を翻訳・公開しています。OTシステムの脅威や対策について詳しく解説された資料なので、自社でセキュリティ対策に取り組む上でも参考になるでしょう。

参照先：独立行政法人 情報処理推進機構(IPA)「[ドイツ BSI] 産業用制御システム（ICS）のセキュリティ - 10 大脅威と対策 2022-」(https://www.ipa.go.jp/security/controlsystem/bsi2022.html)