これまで3回にわたり、ITとOTのそもそもの違いやセキュリティに対する考え方の違い、OTセキュリティの具体的な手法について説明してきました。最終回となる今回は今までの連載内容を踏まえた上で、OTセキュリティの未来について考えてみます。

IT/OTコンバージェンス

まず、OTを取り巻く環境の変化を考えてみましょう。間違いなく、IT/OTコンバージェンスは急速に拡大することになるでしょう。これは工場のスマート化を進めて生産性を上げるには、ITシステムやインターネットへの接続が避けられないためです。

このIT/OT コンバージェンスによって、今まで攻撃者によって認識されていなかったOT機器が危険にさらされることになるでしょう。

2020年はOT関連のセキュリティ侵害で世間を賑わすことはありませんでしたが、2021年以降大規模なセキュリティインシデントが発生する可能性は高いです。

つまり、OT機器がネットワークにつながり、ITシステムやクラウドから管理・制御できるようになればなるほど、セキュリティリスクは高まるということです。その結果、OTセキュリティは今後数年で大きく発展していくことが予想されます。

偶発的なコンバージェンス

もちろん、日本の工場はまだオフラインの環境が多く、ITとのコンバージェンスがまったくないと考えている担当者も多くいます。しかし、このような場合も偶発的なコンバージェンスは存在する可能性があります。

例えば、機器のメンテナンスでUSB を使用することは一般的ですが、このUSB を介した感染は完全なオフライン環境であっても起こり得るものです。

また、Operation Dragonflyのようにメンテナンス用パソコンを経由した攻撃も見られます。つまり、ITネットワークにつながっていないと信じている環境であっても、さまざまな経路から侵入されるリスクはあるということです。では、OTセキュリティはどのような方向に発展していくのでしょうか。

まず考えられるのは、従来ICS/SCADA のみに焦点が当てられていたOTセキュリティが、より全体を見ることができるようにその領域を拡大していくことでしょう。その代表例が産業用IoTです。

産業用IoT

産業用IoT(Industrial internet of things)の利用は特に製造の分野で急速な広がりを見せています。また、他のOT機器と同様に産業用IoTはインターネットやITとのつながりを持ち始めています。しかしながら、セキュリティ対策が十分ではない産業用IoT環境は、サイバー攻撃者による格好の餌食となってしまします。

例えば、デフォルトのパスワードで運用していたり、脆弱性が長期間放置されたりしたままの産業用IoT機器に対して侵入することはそれほど難しくありません。さらに、産業用IoT機器はアラームシステム、カメラ、サーモスタット、火災警報システムなど無限な広がりを見せています。

これら産業用IoT機器に対して、OTセキュリティは今後対応していくことになるでしょう。

また、OT 環境に存在する機器のうち、半数近くがIT 機器だと言われています。当然それらIT機器に対してのセキュリティも包括していく必要があります。

IT/OTコンバージェンスを前提としたOTセキュリティ

先述したように、IT/OTのコンバージェンスは避けられないものであり、偶発的なコンバージェンスが発生する可能性はどの組織によっても存在します。

つまり、OTセキュリティを提供するベンダーはOTのみではなくITのセキュリティをも包含する必要があります。例えば、SCADAやHMIはWindows 上で動作する場合がほとんどであるため、Windowsにおけるセキュリティについてもある程度カバーしているほうが望ましいです。

もちろん、IT 環境においては複数のセキュリティ製品が存在している様にOT でも複数のツールを組み合わせてセキュリティを高める、という考え方もあります。

ただし、OT環境では可能な限り少ないツールで必要なセキュリティ対策をカバーするほうがよいでしょう。なぜならOTセキュリティへの投資はまだまだ限定的であることに加え、現状はほとんど何の対策も行われていなため、対策すべき領域が非常に広いからです。

現に、多くのOTセキュリティツールは資産管理や脆弱性管理、攻撃の検出など多数のセキュリティ機能を提供しています。

OTのセキュリティの未来

以上見てきたように、OTセキュリティは単にPLCやDCSなど制御システムに関してだけ考えれば良いのではなく、産業IoTやITも含めたより大きな視点に立ってセキュリティを考えていく必要が出てくるでしょう。

OTセキュリティで採用されるツールに関しても、OT環境固有の状況を把握しつつも、セキュリティ侵害の発見や不正操作の検出に関してはITの仕組みを利活用することで効率的な運用が実現できるようになるでしょう。

以上、本連載では4回にわたり、IT管理者向けにOTセキュリティについて紹介してきました。OTセキュリティの取り組みに関して、日本ではまだ始まったばかりですが、セキュリティ侵害が発生するその前にこうした取り組みを始めてみてはいかがでしょうか。

著者プロフィール

阿部 淳平


Tenable Network Security 日本法人のSecurity Engineer。脆弱性スキャナとして有名なNessusのほか、IT/OTを統合した包括的なセキュリティ製品であるTenable.io、Tenable.sc、Tenable.otなどを担当。