- 目次
1.迫り来る「OTシステムへの脅威」
近年、製造工場や発電所、水道施設、さらにはオフィスビルや商業施設など、私たちの生活を支えるOT(Operational Technology:制御技術)システムが、サイバー攻撃の標的となる事例が急増しています。
OTシステムはこれまで、外部ネットワークとつながらない「閉じたネットワーク」として運用されてきました。しかし、スマートファクトリー/スマートビルをはじめとしたDX推進に伴うクラウド連携の拡大や、オンライン保守などの外部ネットワークとの接続が一般化したことで、その接続点を狙う攻撃が増加。さらに、サプライチェーン経由の侵入や保守用USBからのマルウェア感染といったリスクも急速に高まっています。
こうした状況を受け、各業界での対策が求められています。経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」や「ビルシステムにおけるセキュリティガイドライン」を発行。2022年に成立した経済安全保障推進法など、サイバーセキュリティを法的義務として位置付ける動きも進んでいます。
2.【実例】NTTデータが検知した脅威から導く2つの教訓
NTTデータがOT IDSソリューションを導入支援した国内ビルシステムの事例をご紹介しましょう。
このビルでは、IDSを導入した数日後に、BAS(ビルディングオートメーションシステム)ネットワーク内のOT機器に対する外部ネットワークからの明確な攻撃の兆候が確認されました。脅威インテリジェンスに登録されている不審なIPアドレスを持つホストからの通信を検知したのです。調査の結果、OT機器の保守ベンダーが一時的に設置した遠隔保守用のルーターが、攻撃の入り口として使用されていました。
図1:脅威検知画面の例
図2:IDS導入システム構成および攻撃経路のイメージ
導入前のヒアリングでは、そのルーターの存在をビル管理者側は把握しておらず、「ビルシステムは閉域ネットワークであり、外部通信経路はない」との認識でした。今回の事例が示す最大の教訓は2つあります。
教訓1:リスクを正確に捉えるには現状の通信の「可視化」が必要
今回の事例のように、設計上は閉域ネットワークであっても、保守ベンダーによるリモート接続用ルーターや一時的なVPN接続、私物端末の持ち込みなどにより、”気づかないうち”に外部との接点が生まれているケースは少なくありません。すなわち、「閉域だから安心」という前提は成り立たないと言えます。通信を「可視化」し、意図しない通信が発生していないか、不必要な端末が接続されていないかなど、OTシステムの現状を正しく把握することが、リスクの正確な評価につながります。
教訓2:攻撃を事前に防ぎきることは不可能であり、”早期検知/早期対応”が重要
OT環境では、外部ネットワークとの接続点の増加に加え、攻撃者の手法も高度化・巧妙化しているため、攻撃を完全に防ぎきることは現実的でありません。さらに、OTシステムは可用性(システムが障害などにより停止することなく継続的に稼働できる能力)を優先するため、脆弱性を抱えたまま長期間稼働しているケースが多く、ネットワーク分離や適切なセグメンテーションが不十分な場合は、マルウェア感染や侵入により被害が急速に拡大しやすいのです。そこで不可欠なのが、「侵入を前提とした対策」です。IDSのような早期検知ができる機器の導入と、SOC、EDRのような早期対応を実現する仕組みの構築が、OTセキュリティにおける最大の防御となると考えます。
3.OTセキュリティに対するNTTデータの強み
NTTデータは、ITとOTの両領域における豊富な経験を生かし、企業の安全・事業継続を支える仕組みを提供しています。
3-1.お客さまの要件に適合したソリューションを最適化し提供
NTTデータは、複数のOTセキュリティ製品を自社ラボで検証し、さまざまな業界の工場/ビルに導入した実績を持っています。そのため、製品ありきではなく用途・既存環境・予算・運用レベルに応じて、お客さまの要件に沿った製品の提案が可能です。併せて、製品の効果を最大化させるため、ネットワーク構成の変更見直しを含めた最適なアーキテクチャでの導入も行います。監視の抜け漏れを防ぎ、実効性が高い、現実的な解決策を提示します。
3-2.コンサルティングからセキュリティ製品導入、インシデント対応まで一気通貫で支援
NTTデータでは、法規(経済安保保証推進法など)への対応支援、各種ガイドライン(工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインなど)に準拠したリスクアセスメントの実施なども対応可能です。コンサルティングによって洗い出した追加対応項目やリスク対策を実現するためのOT/IT両領域に関するシステムインテグレーションを実施します。
また、OTセキュリティは、製品を導入して終わりではありません。可視化/IDS製品を導入しても、監視が形骸化し、インシデントに対応できないといった事例は多く見受けられます。重要なのは”被害を最小化・迅速復旧するための運用体制を構築する”ことです。
NTTデータは、IT領域に加えて、製造業をはじめとしたOT環境に特化したSOC運用の実績もあり、OT通信プロトコルを理解したアナリストによるアラート分析と、現場設備を止めない安全性重視のインシデント対応の判断が可能です。これらは自社サービス『UnifiedMDR™ for OT Security』として展開しています。
図3:UnifiedMDR for OT Security概要
3-3.グローバルでの伴走支援
ベンダーの中には国内拠点のみの支援にとどまり、海外工場やグローバル規模での統一対策への対応が難しいケースがあります。特にOT領域は、国ごとに設備仕様・規制・現地ベンダー事情が異なるため、ローカル完結の対策では全体最適は実現できません。
その点NTTデータは、世界50以上の国と地域でセキュリティソリューションを提供し、各国の規制や国際標準に準拠したセキュリティ設計を実現できます。グローバル企業においても、本社統制と現地実行を両立する統合的なセキュリティ運用モデルを構築できます。
4.「早期検知、早期対応」を実現するOTセキュリティ対策を!
OTセキュリティは、企業の事業継続と社会的信頼を守るために必要不可欠です。工場/ビルには脆弱性を含んだ機器や未管理の通信経路、運用の盲点など、気づきにくいリスクが多く潜んでいます。重要なのは攻撃を全て防ぐことよりも、「早期検知、早期対応」です。NTTデータは、通信の可視化から、リスク分析、セキュリティ製品の導入、SOC監視によるインシデントレスポンスまで一気通貫で支援し、実効性のあるOTセキュリティをグローバルで実現します。
経済安全保障推進法についてはこちら:
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/suishinhou.html
経済産業省, 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインについてはこちら:
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
UnifiedMDR for OT Securityについてはこちら:
https://www.nttdata.com/jp/ja/lineup/unifiedmdr-ot-security/
あわせて読みたい: