TSMCに見る工場を止めないためのOTセキュリティ、TXOneが語るOTを取り巻く現状

同社の代表執行役員社長である近藤禎夫氏は冒頭の挨拶にて、3回目の開催となる今回のイベントについて、「大きく2つの目的がある。1つ目は顧客の事例ならびに取り組みを紹介する場としての役割。2つ目は、フィードバックとしての場で、TXOneが重要視しているものの1つに顧客の工場のオペレーションを止めないというものがある。しかしOTの世界は業種ごと、顧客の環境により、さまざまな違いがあると思っている。我々も勉強する必要があり、いろいろな顧客からのフィードバックを得られる場を用意させてもらった。Innovation Hubという場所も作ったが、この1年で日本の顧客からもたくさんのフィードバックをいただいた」とし、2026年にも新製品を投入する予定だが、そうした新製品にもついても、いろいろなフォードバックをもらえればとしていた。

• 

  TXOne Networks Japanの代表執行役員社長である近藤禎夫氏

OTセキュリティを取り巻く4つの課題

また、基調講演には同社CEOのTerence Liu(テレンス・リュウ)氏が登壇。「OTセキュリティの世界的動向について」と題した講演を行い、TXOneが世界の顧客やパートナーとともに学んだOTセキュリティに関する知見を披露した。

• 

  TXOne NetworksのTerence Liu CEO

そもそもOTセキュリティという言葉が誕生したのは、2010年ころのIndustrie 4.0(Industry 4.0)の登場に端を発する。さまざまな設備や生産機器がデータを生み出し、そのデータを分析することで、全体のオペレーションの改善を図る流れにおいて、設備などが生み出したデータがネットワークを介して分析のためのコンピュータに送ることとなったのが、サイバーセキュリティの脅威にさらされるようになった結果、OTセキュリティの重要性が認知されるようになった。

「デジタルツインにより、生産現場におけるLLMを強化することができるようになるのが、ものづくりの将来の姿。AIが活用され、インテリジェントな機器が工場で活用されるようになる。そうなればOTセキュリティの必要性はさらに増していくことになる」とリュウ氏は、今後、さらなるネットワークと工場の連携に伴い、OTセキュリティの重要性が増していくことを強調する。

• 

  OTセキュリティにおけるAI活用のイメージ

直近でも、日本の飲料メーカーがロシアのサイバー犯罪グループからの攻撃を受けて、工場の操業が止まるというインシデントが発生したように、調査によると、製造業は金融・保険や交通・運輸などさまざまな産業セクターの中でもっともサイバー攻撃にさらされる状況になっている。その背景について同氏は、「例えば金融セクタは、すでに20年以上にわたって攻撃にさらされ、セキュリティに関する規制が進んできた。しかし、製造業は現在、ようやく何らかの形でサイバーセキュリティを強固にしていく段階にある。そうした状況であるため、サイバー犯罪者は、攻撃しやすい産業と認識して狙ってくるのだと思われる」と説明する。

• 

  これまでのOTはインターネットと接続しているイメージがもたれていなかったが、実際はインターネットに接続しており、そのギャップがソフトスポットとして認識され、攻撃されやすい状況を招いているという

OTセキュリティの最大の難しさは、「侵入を避けて、運用を破綻させず、生産性を高くすることがTXOneのミッション」と同氏が語るように、工場の生産を止めることがなかなか許されない点にある。

• 

  TXOneのミッション

そのため、同社ではOTセキュリティの課題を以下の4つにまとめている。

• パッチの未適用
• レガシーOSとアプリケーション
• サプライヤー側の管理不備
• 運用への潜在的な影響

パッチの未適用による脆弱性は、まさに工場を容易には止められないために起因する問題である。また、レガシーOSとその上で動いているアプリケーションの問題も深刻だが、数十年にわたって稼働してきた工場設備を変えるコストなどの問題もあり、簡単には解決できる話ではない。

さらに深刻なのは、大きな工場では数千社規模のサプライヤとデータのやり取りを行ったり、USBメモリなどでのデータ持ち込み、パートナーのメンテナンス用PCからの侵入や、納入した装置のコンピュータにすでに脅威が潜んでいるといった問題で、そうした危険性を考慮した運用をする必要があるが、そうしたことに対処できる人材が不足していることが問題となる。

「この4つの問題が何度も語られてきたが、サイバーセキュリティを理解して、OTについても理解している人材の不足と、標準化されたベストプラクティスが少ないことが問題。決まった手順がすべての産業で存在しているわけではないことも、OTセキュリティの開発が遅れることになる要因となっている」(同)とし、グリーンフィールドで、小さくスタートするといった手法などを含めて、早めに対処に向けて動くことが重要であるとする。

TSMCが進めてきた工場を止めないためのOTセキュリティ手法

これまで同社は多くの企業とエンゲージをして、OTサイバーセキュリティの取り組みを進めてきた。そうした顧客企業の1社にTSMCがある。

同社は2018年にランサムウェア(WannaCry)の攻撃を受けたが、その時の経験を踏まえ、2019年よりTXOneと協力してOTセキュリティの改善を行ってきたという。

• 

  TSMCの事例。2018年にランサムウェアに感染した後、その反省をもとに、OTセキュリティの強化を推進してきた

そこで見えてきたのはサプライチェーン全体での防御の重要性だという。というのも、半導体工場は、先端プロセスでの製造を実現するためには最先端の製造装置を購入する必要がある。その際、サプライチェーン全体でセキュリティを確保しなければ、脅威が工場内に侵入する可能性がでてくる、そこでTSMCは台湾政府、TXOneとともに半導体セキュリティ規格「SEMI E187」の策定を推進した後、サプライチェーンのサイバーセキュリティとして以下の10の重要管理項目の策定を行ったという。

1. 企業の外部ネットワークやサービスには、堅牢なセキュリティ対策(FW、DMZ、クラウドセキュリティなど)を実装すること
2. リモート接続の申請は承認を経て行い、適切な管理措置(社用PC、MFA、多要素認証、VPNなど)を適用すること
3. メールはレピュテーション評価、スパムフィルタリング、ウイルススキャンを実施し、送信元を偽装したメール(SPF/DKIM/DMARCに基づかないもの)は遮断すること)
4. 社内のPCおよびサーバーにはEPP(エンドポイント保護プラットフォーム)を導入し、定期的に更新を実施すること
5. アカウントおよびパスワード管理を強化し、可能であれば生体認証の導入を推奨する
6. インターネットアクセス管理では、悪意あるウェブサイトや実行ファイルの検査を含め、ブラウザにおけるサンドボックス技術の活用が望ましい
7. 外部サーバーを最優先とし、次いでオフィスPCおよびサーバーを対象とするセキュリティ更新ポリシーを策定すること
8. 特権アカウントには多要素認証を義務付けるか、特定のPCに限定して運用すること
9. USBポートなどのPC入出力インタフェースを制御すること
10. 社用PCにはEPPを導入し、管理者権限の使用を制限、USBポートを無効化し、セキュリティ更新を確実に適用することで利用を制御すること

この管理項目はTSMCの3600を超すサプライヤすべてに適用されるもので、サプライヤ各社は「一般」「重要」「クリティカル」の3段階の重みづけで分けられ、クリティカルなサプライヤは、その企業からしか調達できないものなどがある場合などに割り当てられ、かなり厳格にセキュリティコントロールが行われることになるとする。

• 

  TSMCが3600を超すサプライヤに対して遵守を求める「10の重要管理項目」。下に行くほど導入実施度の難易度が高くなっていく

また、セキュリティコントロールそのものも外部と社内に分けられ、外部に向けてはサイバー攻撃に対してサプライヤがどのように管理を行っているかの把握を行ったり、規制に準拠しているかのアンケートの実施、サプライヤに対する監査の実施などを行っているという。特に監査は、安全であるとした根拠などについて、エビデンスの提出も写真や文章なども添えさせて提出を求めるなど徹底しており、その提出物に対してAIによるチェックのほか、実際にサプライヤの生産拠点に赴き、装置のドメインコントローラの内部を確認したり、特権アカウントの管理手法などの確認を現地で行うという。併せて、不足が見つかった際のフォローアップも行い、どうやって改善を図っていくかについての支援も行っているという。この支援も、例えばセキュリティに対する予算が不足しているということが示されれば、レビューの中に予算を引き上げるべきであるとする要求を掲載して、実際にCSOへの予算要求を支援するといったことにまで踏み込んでいうという。

• 

  TSMCのサプライチェーンに対するセキュリティの強化に向けた取り組みと考え方

OTセキュリティに求められる早い段階での防御の構築

なお、同氏は、「OTセキュリティに対する取り組みは、100％可視化できなくても開始できる」ことが重要であると語る。

• 

  100％になるのを待つのではなく、70-80％の可視化ができれば、その資産を可視化して脆弱性を知ることができるようになり、そしてそれを何らかのセキュリティソリューションで守る取り組みをしていくべきというのがTXOneのスタンスとなる

また、「早い段階で防御することこそが重要で、早めに対策を施さなければマルウェアやランサムウェアの排除が間に合わない。製造装置を動かすためのOTがあるが、直接はインターネットにつながってはいない。OTがITにつながって、ITがインターネットにつながる。ハッカーがOTまでたどり着き、攻撃を仕掛けたということは、すでに数か月前から潜んでおり、それまでにOTへの攻撃が行われていたことになる。そこで考えるのは、サイバー攻撃がどうやってセキュリティをすり抜けたのか。それを紐解くためにもサプライチェーンを含めた防御が重要で、縦型産業コミュニティの連携により、強力な『集団防御』を実現できる」と、早めの対処とパートナー含めたサプライチェーン全体での防御の構築も重要で、そうした持続可能なセキュリティを構築していくためには、明確なロードマップを構築し、経営層がセキュリティにコミットメントをして、リスクベースのアプローチをとることが重要であるとし、TXOneでは、さまざまな産業に従事する顧客から得たプラクティスを共有することができるといった特長を活かした支援などを行っていくとしていた。

• 

  もはややらないという選択肢がなくなったOTセキュリティ。その取り組みとしては、まずは可視化で、それをもとにした防御策の実施、そしてそれを自社のみならずサプライチェーン全体に拡大していく必要がある。その実現のためには、ロードマップを策定し、経営層がその実現にコミットする必要があるが、TXOneはその実現を支援していくとする