近年、「ITセキュリティ」に対し、「OTセキュリティ」という用語を耳にするようになりました。産業用制御システムの制御技術を表すOTですが、OTセキュリティはITセキュリティとは似て非なるものです。
本記事では、OTセキュリティとITセキュリティの特徴・違いに加えて、OTセキュリティ対策のポイントについてご紹介します。
OTとITで異なるセキュリティ対策
「情報技術」を意味する「IT(Information Technology)」に対し、「OT(Operational Technology)」は、製造業において工場のハードウェアを制御・運用するための技術を表します。どちらもセキュリティ対策を必要とする点では共通していますが、ことOTに限っていえば、セキュリティ対策を実施するたびに工場を停止していては元も子もないため、システムの稼働への影響が最小限になるよう対策を講じなくてはなりません。
両者の特徴やセキュリティ対策にどのような違いがあるのか、比較してみましょう。
OTセキュリティ
OT(Operational Technology)は、直訳すると「運用技術」となりますが、広義的にいえば、交通・電気・水道といった社会インフラを機能させるために必要な設備やシステムを最適に動かすための制御技術・運用技術です。製造業において「ICS(Industrial Control Systems)」と呼ばれる産業用制御システムを動かす制御技術が、このOTに当たります。
産業用制御システムでは、製造工場内の工作機械や制御装置をリモートコントロールしますが、従来では基本的にインターネットや社内LANから切り離され、独自のプロトコルのみを使用する閉じられたネットワークとして構成されてきました。
近年では、工作機械の稼働データをクラウドに吸い上げ、保守部品管理や工場全体のパフォーマンス管理を目的に活用することも多く、社内LANやインターネットにつながる産業用制御システムも増えています。
ITセキュリティとの大きな違いは、OTセキュリティではシステム停止の可能性があるため、システム稼働中の脆弱性スキャン(アクティブスキャン)は行わない点です。また、システム停止の原因となるため、定期的なパッチ適用とOSの更新も推奨されていません。
ITセキュリティ
IT(Information Technology)は直訳すると「情報技術」となり、コンピューターや情報通信の技術を総称したものです。ITの守備範囲は広いですが、具体的にはコンピューターやインターネットによるネットワークを活用し、企業活動や個人の生活に役立てる技術を指します。
つまりITセキュリティは、インターネットやコンピューター、情報を安心して使い続けられるように必要な対策を講じることといえます。具体的には、重要な情報が外部に漏れることを防いだり、マルウェアへの感染を防いだりするための対策が求められます。
ITセキュリティの特徴は、システム稼働中の脆弱性スキャン(アクティブスキャン)が可能な点と、定期的なパッチ適用およびOSの更新が推奨されている点です。これらの特徴は、上述のOTセキュリティとは真逆となるため、OTセキュリティでは従来のITセキュリティの常識が通用しないことが分かります。
OTセキュリティの必要性
従来、産業用ネットワークは制御機器を介してデータをやり取りするシステムで、社内LANとの接続点が限られていました。これらのネットワークは独自のOSや通信プロトコルを使用しており、サイバー攻撃のリスクは比較的低いと考えられてきました。しかし、過去にはウクライナの電力会社がサイバー攻撃を受け、大規模な停電を引き起こした事例があり、産業用制御システムの脆弱性が明らかになりました。
このような事例は、OTセキュリティへの関心を高め、産業用ネットワークのセキュリティ対策の重要性を示しています。
現代では、産業用ネットワークの進化に伴い、工場全体の効率化を目的として、独自プロトコルの代わりにTCP/IPなどの標準プロトコルが採用されるようになりました。これにより、社内LANへのアクセスが容易になり、制御システムからの情報を活用して外部と連携し、データ分析を行うことが可能になりました。分析結果は社内LANを通じて制御システムへフィードバックされ、全体のオペレーションの分析・改善に利用されています。
このように産業用制御システムと外部ネットワークとの連携が進む中で、サイバー攻撃への露出が増え、企業はOTセキュリティを強化せざるを得なくなりました。産業用制御システムへのサイバー攻撃が年々増加しており、標的にされた場合の被害が広範囲に及ぶことから、OTセキュリティ対策は不可欠です。
OTセキュリティ対策のポイント
産業用制御システムはITシステムとは特徴が異なるため、その特徴に合わせた対策が必要です。産業用制御システムの特徴と、対応するOTセキュリティ対策のポイントは次のようにまとめられます。
- ITセキュリティの保護対象は情報ですが、OTセキュリティは設備・製品などのモノとサービスの連続稼働を維持するために行います。
- 産業用制御システムは社会基盤や産業基盤を支えているため、稼働が停止してしまうと、その影響は計り知れません。それゆえ、OTセキュリティでは継続した稼働を重視して対策を講じます。
- 産業用制御システムはインフラ基盤でもあり、機密情報の漏えいが発生してしまうとその影響が大きいため、機密性が重視されます。
また、産業用制御システム内で過去にセキュリティ被害を引き起こした原因は以下4点に分類されており、これらの点を重点的に対策することが求められています。
- USBメモリからの脅威の侵入
工作機械などをはじめとする産業システムでは、USBメモリを介してデータをやりとりする機会が頻繁にあります。そのため、USBメモリを介してマルウェアが侵入した事例が多数発生しています。 - メンテナンス用回線からの脅威の侵入
リモートで産業用機械のメンテナンスを行う際、メンテナンス用の回線からセキュリティに侵入された事例も多く発生しています。 - 操作用端末や保守端末からの脅威の侵入
マルウェアに感染していた操作用端末や保守端末から、制御システムにマルウェアが侵入していた事例があります。 - 内部犯行による脅威の侵入
組織内の内部犯行者が意図的に情報を漏えいした事例も確認されています。組織内部の者が関与していた場合、物理的なセキュリティは容易に突破されてしまいます。
一般的なユーザーが使用するIT機器の場合、操作端末や保守端末を利用するという概念がありません。また、昨今ではUSBの利用が減少傾向にあり、ITセキュリティの観点からもOTセキュリティは考えにくいものとして捉えられがちです。
OTセキュリティでは、従来のITセキュリティでの常識は通用しないことを改めて認識して、対策を講じることが大切です。もっとも、近年ではIT・OTそれぞれに用いられる技術が共通化してきているため、じきに両者の垣根はなくなるものと予想されます。どちらか一方のセキュリティ対策を講じるにせよ、今後はIT・OT双方の知識が必要となる場面が増えてくるでしょう。
まとめ
OTセキュリティでは基本、ITセキュリティにはない考え方をもとに対策する必要があります。しかしながら近年では、IT・OTで使用する技術が重複してきていることもあり、これらの垣根はなくなりつつあります。
今後OTセキュリティを導入する際は、OTのみに偏った学習ではなく、ITとOT両方の知識を身につけることが重要です。
