マルウェアで操業停止――事業の要「OT領域」で進むIT化 セキュリティ対策のポイントは？ 専門家に聞く“勘所”

[PR／ITmedia]

PR

　組織におけるサイバーセキュリティ脅威の1位はランサムウェア被害――情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2023」（1月25日発表）の中でこう指摘した。実際に22年には複数の企業や病院、学校での被害が大きく報じられた。続く2位は「サプライチェーンの弱点を悪用した攻撃」だった。

　こうした攻撃への対策を進めるに当たり、ITシステムだけでなく工場やプラントなどを支えるOperational Technology（OT）も意識するのがポイントだ。昨今、工場のデジタル化やDXといったトレンドを背景に、ITとOTの距離が近づいている。

フォーティネットジャパンの佐々木氏（OTビジネス開発部 部長）

　「過去の工場は、ITシステムがマルウェアに感染しても操業停止には至りませんでした。しかし、DXなどで工業や機器の制御をITシステムが担うようになった結果、『OTのIT化』が進んでIT側の被害がOTに影響を及ぼすようになっています」――こう話すのは、フォーティネットジャパンの佐々木氏（OTビジネス開発部 部長）だ。同氏はIPAの産業サイバーセキュリティセンターの専門委員も務めている。

　企業は日頃から、こうしたサイバーセキュリティの脅威に備える必要がある。特にその意識が高まるのが、毎年2〜3月に内閣サイバーセキュリティセンターが主催する「サイバーセキュリティ月間」だ。

　同月間に当たる今回、専門家である佐々木氏と、長年企業に向き合ってきたソフトバンクの茂木裕氏（ICTオペレーション本部 オペレーションサービス第4統括部 統括部長）がOTシステムのサイバーセキュリティ対策について対談した。

OTシステムのサイバー攻撃被害が増加　OTを狙うマルウェア登場

ソフトバンクの茂木裕氏（ICTオペレーション本部 オペレーションサービス第4統括部 統括部長）

　現在、サイバーセキュリティ全体の傾向としてランサムウェアの被害が増加している。背景にはRaaS（Ransomware as a Service）と呼ばれる、手軽にランサムウェア攻撃を仕掛けられるプラットフォームを提供するグループを中心とした攻撃者のエコシステムが構築されていることがある。そうした結果、サプライチェーンを含めたリスクが増加していると茂木氏は話す。

　OT環境を標的としたマルウェアも注目を集めている。例えば「Pipedream」という産業用制御システムを標的としたモジュラー型マルウェアは米国エネルギー省や国家安全保障局（NSA）、連邦捜査局（FBI）などが共同勧告を出すに至った。

　被害増加のもう一つの理由が、冒頭で示したOTのIT化だ。2つの観点でリスクが高まっていることを踏まえ、会社全体でビジネスリスクを考え、バランスよく対策を取るのがいいと両氏は警鐘を鳴らす。

組織目標のミスマッチ　IT部門はセキュリティ　OT部門は工場の安定操業

　しかし、この危機意識がなかなか広がっていない。組織や担当者が持つ認識にギャップがあるのだ。

　「ITとOTがつながり始めているのに、企業のIT部門と制御系の担当部門が別々で、壁が存在しています。システムは連携しているのに人が連携していないので、対策の必要性が伝わっていません」（佐々木氏）

　加えて茂木氏は組織が目指すゴールの違いを指摘する。IT部門のミッションはセキュリティを強化することだが、OT部門である工場担当者のミッションは安定した操業だ。その違いを認識せず、別々の目的を追いかけ続けるとミスマッチが起きる。「担当外だから」といってリスクを放置すると、大事故につながりかねない。

　ここで重要なのが経営層の関与だ。部門ごとにKPIやゴールを目指すのではなく、経営層が会社としてどうすべきかを示し、経営問題としてOTのセキュリティ対策に取り組む必要がある。

　「うちは関係ない」と思っていても、製品の調達要件にリスク対策の有無が盛り込まれて「未対策なら取引しない」となり、ある日突然サプライチェーンから追い出される可能性もある。つまり、攻撃を受けようが受けまいが対策をしなければビジネスを失う可能性がある。OTのセキュリティ対策は経営課題以外の何物でもないと言える。

経営層にリスクを認識してもらう　経産省ガイドラインでも明示

　このことは、佐々木氏が策定に携わった経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」でも明示している。ガイドラインは、経営層にOTセキュリティをビジネスリスクとして理解してもらい、リスクを低減するために必要な対策を個社で考えてもらうのが狙いだ。自社や取引先の対策を説明する共通言語が必要だと考えて作成したと佐々木氏はガイドラインの意図を説明した。

　このガイドラインには項目数を32に絞ったチェックリストが付いている。項目を減らしてチェックの負担を抑えつつ、自社が置かれている現状を把握し、どこから手を付け、何を改善するべきか分かるように工夫されている。

“全生産ライン停止”を避けるには？

　では、具体的にどこから取り組めばいいのか。セキュリティ対策ソリューションを導入する前にやるべきは、前述した経産省のガイドラインにもある現状の把握だ。保護対象のアセットを棚卸しし、重要度別に分類してゾーンごとに管理することが大切になる。

　「平時のIT／OTシステムの状態やネットワーク構成を正しく把握することが重要で、そのためには可視化が不可欠です。現状の認識が甘いと、例えばセキュリティ製品を導入して社内外とのネットワークの出入り口を守っていても、その裏で気づかない出入り口が増設されていたりすると、そこがセキュリティの盲点となってしまいます。ネットワークを把握し継続的にモニタリングすることが重要です」（茂木氏）

　そうした取り組みの中でリスクを把握することが大切だと佐々木氏はいう。工場における最大級のリスクは、操業停止に追い込まれることだろう。OTのゴールは安全、品質、納期、コストの頭文字を取った「SQDC」と呼ばれる内容だ。以前ならサイバー攻撃がSQDCに与える影響は限定的だったが、OTがIT化しているいま、従来の認識ではリスクを把握しきれない。

　そこで重要になるのが「予防」だ。リスクを知ったうえで、SQDCを維持できるよう必要な手段を取るもので、日本企業は積極的に取り組んでいる傾向にある。

　もう一つ、見落としがちなのが事故対応だ。セキュリティ事故の可能性が高まっているいま、何かが起きた際に何も手を打てなければ被害が広がり、生産ラインが数日〜数週間の単位で停止する恐れがある。異常に素早く気付き、原因を早期に突き止めて被害の拡大を抑えることで、OTへの影響を一時的なものにできる。いわゆる「レジリエンス」を実現でき、さらにこの過程での気付きの蓄積が次の予防につながると佐々木氏は解説した。

　これには企業、特に経営層の認識の変化が必要だ。一般的にサイバーセキュリティ対策はコストと見なされがちだが、DXを安心安全に進めていく武器だと佐々木氏は話す。脅威を避けるために外部とのつながりを絶てば安全は手に入るが、企業の成長は減速する。予防や事後対応に注力することが企業にとってメリットになると気付くのが大切だ。

サイバーセキュリティにおけるレジリエンスの考え方（佐々木氏の解説資料より）

OTセキュリティ対策の「誰がやるか問題」　解決策は

　いざサイバーセキュリティ対策に取り組むといっても、業種や工場のIT化の度合いによって留意すべきポイントは異なる。例えば部品工場と化学プラントでは、サイバー攻撃を受けた際の被害内容や影響範囲が異なるし、工場設備の稼働年数やIT化の進展度もまちまちだろう。

　茂木氏は現状把握の大切さを改めて強調する。「見えないものは守りようがありません。見えるからこそリスクを識別でき、防御や万一の対応ができます」（茂木氏）

　さらに大きな問題は「誰がやるか」だ。IT担当者はOTの仕組みやプロセスまで把握できていないため、対策を進めるには工場側の巻き込みが不可欠になる。自分たちだけで難しい場合は、知見がある外部の力を借りながら、IT担当とOT担当を交えてパイロット的に進めていくことが重要だと佐々木氏は話す。そしてOTの監視や異常時の対応プロセスを確立し、それに携わる人材育成などの取り組みを並行して進めることが大切だ。

対策の負担を軽減　ソフトバンクやフォーティネットが支援

　前述のような対策の負担を軽減する方法の一つが、外部の専門家に協力を仰ぐことだ。茂木氏が率いるソフトバンクの“セキュリティ部隊”では、Nozomi Networks社のOT向け不正侵入検知装置を用いた、マネージドセキュリティサービス「OTセキュリティ Type N」を基に対策を支援している。

　このOTセキュリティ Type Nでは製品導入から日々の運用・監視、アラート検出時の対処といったオペレーションまで一括で提供できる。

　OT環境のネットワークで起きた異常をモニタリングすることでインシデント発生時に「いつ、何が起きたか」を速やかに把握。そして「誰がどう対応するのか」をサポートすることで、万一事故が発生してもSQDCへのインパクトを抑えられる。

　OTセキュリティ Type Nの提供に当たっては、フォーティネットの支援を得てOTセキュリティに関する知見を蓄積し、佐々木氏による講義などでソフトバンクのエンジニアの知識や技術を向上している。

OTセキュリティ Type Nの概要

　またフォーティネットは、製品導入の前に必要なリスクの洗い出しをWebサイト上で手軽にできる無償診断サービスを提供している。経産省のガイドラインにあるチェックリストを基にしたもので、回答を入力すると現在のスコアと評価が出る。経営層に説明する際、自社の現状が一目で分かるようになっていると佐々木氏は胸を張る。

サイバーセキュリティのゴールは「もうける」こと

　サイバーセキュリティ対策を自社だけで実現するのは難しい。経験値があり幅広く面で活動できるソフトバンクの力と、フォーティネットの知見を組み合わせるのはもちろん、業界全体で取り組むことが重要だと両氏は話す。

　「最後に大切な話を一つ。サイバーセキュリティは対策がゴールではなく、その企業が健全に成長して『もうける』ために必要なことです。セキュリティ対策をすればもっと攻められるとマインドチェンジしてもらえればいいと思います」（佐々木氏）

　折しも年度初めはさまざまな人や組織の異動があり、現状を見直したり、新たな視点を取り入れたりするのにはちょうどいいタイミングだ。これを機に、サイバーセキュリティに対する危機意識を再確認し、対策を検討してみてはいかがだろうか。ソフトバンクなら、親身に手伝ってくれるだろう。