OTセキュリティという言葉を見聞きする機会は増えましたが
- そもそもOT(Operational Technology)とは?
- ITセキュリティとの違いは?
- 対策を始めるには何から?
と聞かれると、うまく説明できない方も多いのではないでしょうか。
工場や設備のデジタル化が進む中、OT環境にもサイバーセキュリティ対策が求められるようになっています。一方で、OTにはITとは異なる特性があり、ITセキュリティの考え方をそのままOTにあてはめることはできません。
本コラムでは、初学者にもわかりやすく、計4回にわたってOTセキュリティの基本を説明します。OTセキュリティの考え方から、現状把握、対策検討、運用のポイントまで、現場で押さえておきたい基本を整理していきます。
OTセキュリティ対策の第一歩は“現状把握”
前回は「OTセキュリティとは何か」「なぜ今必要なのか」を整理しました。今回は次のステップとして、OTセキュリティ対策の第一歩である「現状把握」について考えます。
OTセキュリティというと、セキュリティ監視や防御製品の導入を思い浮かべる方も多いかもしれません。たしかにそれらは重要です。しかし、その前に押さえておきたいのが、「自社の現場が今どうなっているのか」を知ることです。
現場の状況を十分に把握しないまま対策を進めると、効果が出にくかったり、かえって運用の負担になったりすることがあります。
まずは、どのような設備やシステムがあり、どのようにつながっているのかを知ること。そこがOTセキュリティの出発点になります。
なぜ最初に現状把握が必要なのか
OTセキュリティ対策を進めるうえで、最初に現状把握が必要なのは、守るべき対象やリスクが現場ごとに異なるためです。たとえば、同じ工場でも、生産ラインの構成、導入されている設備、外部との接続方法、保守運用のやり方は一様ではありません。そのため、一般的に推奨される対策が、そのまま自社の現場に合うとは限らないのです。
特にOT環境では「生産を止めないこと」がとても重要です。現場の実態を十分に知らないまま対策を入れると、必要な通信まで止めてしまったり、設備や監視用PCの動作に影響が出たりして、かえって現場の運用に支障が出るおそれがあります。だからこそ、最初に現状を正しく把握し、自社の現場に合った考え方で対策を進めることが大切です。
何を把握すべきか
では、OT環境ではいったい何を把握しておくとよいのでしょう。現状把握というと難しく聞こえるかもしれませんが、最初からすべての情報をそろえる必要はありません。分かるところから全体像をつかんでいくことが大切です。
まず見ておきたいのは、ネットワーク構成です。どの設備やシステムが、どことつながっているのか。工場内の機器同士の接続だけでなく、上位システム、他拠点、クラウド、保守ベンダーなどとのつながりがわかると、外部との接点も見えやすくなります。
次に、接続されている機器やシステムの情報も整理できるとよいでしょう。具体的には、PLC、HMI、監視用PC、サーバー、ネットワーク機器、センサー、制御装置など、どのような機器があるのかを把握していきます。
さらに、OS、ファームウェア、利用しているソフトウェアの情報も重要です。これらは、脆弱性の有無や、どのような対策が現実的かを考えるうえで欠かせません。加えて、外部との接点も明確にしたいポイントです。USBメモリ、保守用PC、遠隔保守、持ち込み端末、委託先接続など、インターネットに常時接続していなくても、注意が必要な接点はたくさんあります。
このように現状把握とは、単に機器一覧を作ることではなく
- 何があるか
- どことつながっているか
- 気をつけたい接点はどこか
をわかる範囲から整理していくことが大切です。
現場で起こりがちな課題
現状把握が大切だと分かっても、実際にはそう簡単ではありません。OT環境では、次のような課題がよく見られます。
- 資料が最新ではない
導入時の仕様書や構成図は残っていても、その後の変更が反映されておらず、今の状態とは合っていないことが多々あります。 - 情報が分散している
たとえば、A設備の資料は設備担当者が保管し、B設備の構成図は別の部署が持っていて、ネットワーク図は情報システム部門にしかない、といったケースです。設備ごとの情報はそれぞれ存在していても、工場全体としてまとまっていないため、全体像がわかりづらくなります。 - ベンダー任せになっている
特に運用上は問題なく見えても、いざセキュリティ対策を考えようとすると、必要な情報が手元にないということが起こります。
こうした課題は、OT環境の情報収集が進まない典型例としてあげられます。このような状態では、何を優先して守るべきか、どこにリスクがあるのか判断を難しくします。
現状把握はどう進めればよいか
- 既存資料の確認
現状把握の進め方としては、まず既存資料の確認から始めるのが基本です。仕様書、構成図、機器台帳、運用手順書など、すでにある情報を集めることで、どのような設備やシステムがあるのかを大まかにつかめます。
また、こうした資料を確認することで、外部との接点も見えてきます。ネットワーク構成図、機器台帳、保守契約書、遠隔保守の手順書などを見れば、インターネット接続やVPN、ベンダー接続の有無がわかります。情報システム部門や現場担当者へのヒアリングを行うことで、どこに外部との接点があるのか見つかります。 - 現場での確認
資料だけでは分からない接続や運用実態も多いため、実際の設備やシステムの状況を確認し、必要に応じて現場担当者にヒアリングを行います。
また、可視化ツールの活用も有効です。手作業だけで全体像を正確かつ継続的に把握するのは負担が大きくなります。ツールを使えば情報収集や更新の効率を高めやすく、最新情報の維持も容易です。
ここで重要なのは、最初から完璧を目指しすぎないことです。まずは把握できる範囲から整理を始めていきましょう。
情報を集めるだけでは対策は考えられない
情報を集めること自体がゴールではありません。機器一覧やネットワーク図があっても
- どの設備が特に重要なのか
- どの接続に注意が必要なのか
- どこが外部との接点になっているのか
が見えていなければ、次の対策検討にはつながりません。セキュリティ対策を考えやすい形に情報を整理することが重要なのです。設備の役割、止めにくい機器、外部との接点などをあわせて見ていくことで、その後の優先順位づけがしやすくなります。
意識すべき3つのポイント
OTセキュリティの現状把握を始めるとき、次の3つを意識すると進めやすくなります。
- 最初から細かさを求めすぎない
細かい機器情報を最初から完璧に揃えようとすると、作業が頓挫することが多いです。まずは「どんな設備やシステムがあり、どうつながっているか」という全体像をつかむことが大切です。 - 現場の知見を重視にする
OT環境には、資料だけでは分からない運用が少なくありません。実際に設備を使っている人、保守している人の話を聞くことで、重要な接続や注意点が見えてくることがあります。 - 対策につながる形で整理する
情報をただ集めることがゴールではありません。「どこを優先して守るべきなのか」「どこにリスクがありそうか」を考えられるように整理することで、その後の対策検討につながります。
まとめ
OTセキュリティ対策を進めるうえで、最初に欠かせないのが現状把握です。ネットワーク構成、機器やシステムの情報、OSやソフトウェア、外部接続の有無などを整理することで、はじめて自社に合った対策を考えられるようになります。
一方で、「現状の資料が古い」「情報が分散している」「自社で十分に把握できていない」といった課題も出てきます。そのため、「既存資料の確認」「現場の実態確認」「必要に応じたツール活用」を組み合わせ、無理のない形で進めていくことが重要です。
現状把握は地味に見えるかもしれませんが、ここが曖昧なままでは、その後の対策も曖昧になり、せっかく投じたコストも無駄になってしまいます。
OTセキュリティ対策の第一歩は、まず現場を正しく知ることなのです。
次回は
第3回では、把握した情報をもとに、何を優先して守るべきか、どう対策を考えていくべきかを解説します。OTセキュリティ対策を進めるうえで重要な、優先順位の考え方を整理していきます。
配布資料-150x150.jpg)
