工場内の機器が外部から見えてしまう 工場向けのセキュリティ強化策とは：まずは可視化から

ITシステムと産業制御システムとの連携が進んでいる。OT環境がインターネットに開かれた結果、これまで問題になっていなかった脆弱性がサイバー攻撃の対象になってしまった。どのように対応すればよいのだろうか。

[PR／ITmedia]

PR

　デジタルトランスフォーメーション（DX）推進の要は「データ」だ。特に製造業では工場の機器やIoTデバイスをネットワークに接続してデータを取得し、管理を効率化したり生産性の向上につなげたりするケースが多い。このようなスマートファクトリーの取り組みを、工場の生産部門と情報システム部門が一体で進めるだろう。

　しかしITシステムとOT（Operational Technology）環境における産業制御システムとの連携は良いことばかりではない。システム連携の輪が広がったことで新たなセキュリティリスクが生じたからだ。IT／OTを含めたシステムを統合的に保護するために、情報システム部門やセキュリティ担当者はどうすればよいか。有識者に話を聞いた。

閉域網神話が崩壊　今やOT環境は“おいしい標的”に

　「これまで工場など産業制御の領域では、物理的な入退室管理といった安全策が十分に施されていました。しかし、IT視点による『サイバーセキュリティ』の実践は遅れていました」と語るのはマクニカの山岸朋弥氏（ネットワークスカンパニー　セキュリティ第4事業部　第1営業部第1課）だ。

　山岸氏によると、工場などにある機器は閉域網などの閉じられた環境内で運用されていたため、セキュリティリスクを考慮する必要はほぼなかったという。だがスマートファクトリーといった取り組みが進み、OT／IoT機器が外部のネットワークにつながってオープンになったことで攻撃対象領域（アタックサーフェス）の拡大を招いた。

　「サイバーセキュリティの遅れが目立つ昨今のOT／IoT環境は、サイバー攻撃者から見れば『おいしい標的』になりました」（山岸氏）

　IT／OTを含めたシステムがサイバー被害に遭う原因の多くは、PC端末やVPN機器などのデバイスが台帳などで管理・把握されなかったため、パッチが適用されていなかったことだ。放置された脆弱（ぜいじゃく）性をサイバー攻撃者に突かれ、マルウェアの侵入を許してしまうのだ。

　「そもそも『端末の管理台帳がない』場合もありました。資産が工場にあるため、情報システム部門から対策の実施を強く言えないという事情もあるようです」（山岸氏）

　また、これまで閉域網によって安全が確保されていたところにいきなり「サイバーセキュリティを取り入れろ」と言っても、生産現場に専門知識を持った人材がいない以上、実現するのは容易ではないだろう。

現状の棚卸しから始める　だが工場環境に起因する課題が山積み

　セキュリティリスクが増えてきた中、山岸氏の下には「最初に何をやればよいか分からない」という悩みを持つ企業から「何がどれだけあって、どのような状態なのか」を可視化し、把握したいという要望が多く寄せられているという。

　もちろん工場側も何もしてこなかったわけではない。ラインにある資産や権限は把握できていた。ただし工場やラインごとに統一されておらず、「何が」「どこに」つながっているのかを全社的に把握できているケースが少ない。OTネットワークには、台帳に載っていない「勝手に増設された」機器や従業員が良かれと思って設置した個人の機器がつながっていることさえある。

　この問題を正しく認識して可視化に取り組み始めた企業が増えてきた。だが山岸氏によると、工場は可用性を最重要視するため、端末に情報収集やパッチ適用のためのエージェントをインストールすることが許可されない場合があるという。「生産を止めない」「ラインを止めない」という大原則は、たとえ工場の安全性を守るためであっても崩すのは困難だ。

　「検知ソリューションを導入している先進的な企業もありますが、その場合でもアラートの誤検知や過検知への対処に多くのリソースを割いているケースがあります。つまり『何をしたらよいのか分からない』か『ある程度実施してみたが運用でつまずいている』という2つのパターンで悩む企業が多いのです」（山岸氏）

現状の可視化を手助け　対策まで提案できるサービスを提供

　IT／OT環境の資産の棚卸しや現状の可視化に悩む企業に、マクニカは「デバイスアセスメントサービス」を提供している。

　同サービスは工場およびIT環境にアプライアンスを設置してデバイスの情報（PCやサーバ、スイッチ、PLCなど）や通信をさまざまな方法で取得し、台帳に載っていないデバイスを含めて管理状況を可視化できる。また、各デバイスにどのような脆弱性が含まれているのかを把握することも可能だ。

　アセスメントの実施内容や可視化の結果と考察、今後の対応方針をレポートとして提供する。エージェントレスのため機器に影響を与えず、可用性を損なわず網羅的に資産を可視化する。

　レポートでは、台帳に記載された資産と、サービスによって取得したOS種別や機器種別の資産情報を比較した結果などを表示する。OSのサポートが切れている端末やアンチウイルスソフトの稼働状況、パッチ適用状態、ストレージなどの外部接続機器、ネットワーク構成、OTデバイスの脆弱性、OTデバイスの不正通信なども明らかにするため、リスクを早期に発見して対策できる。

デバイスアセスメントサービスは未管理の端末も可視化する（提供：マクニカ）

　製造業の企業の中には経済産業省が策定した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」（以下、CPSガイドライン）に沿って工場システムのセキュリティ対策を講じたいケースもあるだろう。

　マクニカは「工場システムCPSガイドライン準拠状況チェックサービス（仮）」を今後提供する予定だ。工場システムCPSガイドライン準拠状況チェックサービスはヒアリングベースで、CPSガイドラインに現状の環境がどれだけ準拠できているかをチェックする。約2時間のヒアリングを3回程度実施し、アセスメントレポートとして達成度や項目ごとの個別評価をまとめて対策の優先順位を提案する。

工場システムCPSガイドライン準拠状況チェックサービス（提供：マクニカ）

　「工場システムCPSガイドライン準拠状況チェックサービスは、工場システムCPSガイドライン準拠状況チェックサービスの内容をマクニカが独自で項目に落とし込み、点数付けしたものです。デバイスアセスメントサービスが資産の可視化を目的としたものなら、こちらは経営層の危機意識を高めてセキュリティ投資を促進させるための判断材料になるサービスだと言えるでしょう」（山岸氏）

　工場システムCPSガイドライン準拠状況チェックサービスは、先着2社限定で無償利用できるキャンペーンを実施中だ。

可視化の次のステップは“継続的な管理と運用の省力化”

　現状の棚卸しと可視化はゴールではなく、IT／OT環境を適切に管理、運用するための初めの一歩に過ぎない。次の目標は継続的な管理と運用の省力化だ。これを支援するのが、マクニカの統合管理ソリューション「Forescout Platform」（以下、Forescout）だ。

　ForescoutはIT／OT環境を含めた網羅的な可視化と統合管理からアクションの自動実行までを担うソリューションで、次のような複数の機能をモジュール単位で用意している。

・デバイスの網羅的な可視化と統合管理　Forescout独自の手法で企業や工場のネットワークに接続されているデバイスをリアルタイムで検出する。未管理デバイスも発見し、継続的に管理できる

・不正デバイスのアクセス制御、アクションの自動化　検出したデバイスの状態を可視化し、コンプライアンス違反のあるデバイスの検出と制御アクションを自動化する

・脅威検知　OT環境において脅威と思われる不審な通信を検出する。通信内容を解析し、ホワイトリスト／ブラックリスト方式でブロックする

・対応の省力化　XDR（Extended Detection and Response）によって複数のソリューションの検知情報を解析し、誤検知・過検知の低減と運用の最適化を実現する

・セグメンテーション　端末情報や通信パターンを解析してリアルタイムのセグメンテーションを実行する。セグメンテーションのポリシー作成といった設計から実施までを担い、攻撃対象領域を縮小する

Forescoutの概要（提供：マクニカ）

　マクニカにはForescoutの導入実績が多数あり、工場環境の全量把握とリスク分析のノウハウが多いという。Forescoutを利用してリアルタイムでセキュリティ状態を含めて多資産管理を実現している事例や、複数拠点の資産管理を省力化し、既存のSIEM（Security Information and Event Management）と連携させた事例もある。対策がある程度見えた企業にとって重要なのは、運用できるソリューションだ。そこにマッチするのがForescoutだ。

　「まずは自社の環境を明らかにしてください。台帳があるならそれがどの程度の頻度で更新されているか、そもそも正しいものかどうかを把握しましょう。それを把握した上で、ツールやサービスを使って確認することが可視化の近道です。可視化で最も重要なのはできる限り穴をなくすという“網羅性”です。Forescoutはネットワーク機器から直接情報を取得することでこれを実現します」（山岸氏）

　山岸氏は「何をすればよいのか分からないという企業には、まずデバイスアセスメントサービスの利用をお勧めしています」と述べる。可視化が進み課題が明確化したら、Forescoutの出番だ。機器を入れることが障壁になるのならば、ヒアリングのみで進めるガイドライン準拠状況チェックから始めてもよいだろう。可視化を実施し、可視化した情報を基に対策の優先順位付けをすることこそが、コストパフォーマンスの高い対策につながる。

　IT／OT環境の統合管理に悩む企業は多い。いきなりツールを導入するのではなく、まずは「見えないものは守れない」という前提で現状の把握から始めるとよいだろう。

先着2社様限定で無償提供！

　「工場システムCPSガイドライン準拠状況チェックサービス」申し込みはこちら。

　※問い合わせ時に「アイティメディアの記事を見た」旨、ご記載ください。