IoT/OTの脅威環境|特有のリスク
IoTセキュリティと産業制御システム(OT)のセキュリティは、従来のITセキュリティとは根本的に異なるアプローチが必要です。その理由は、優先事項、ライフサイクル、攻撃の影響が大きく異なるためです。
IT環境とOT環境の本質的違い
ITとOTの違いを理解することが、効果的なセキュリティ対策の第一歩です。表面的な技術の違いではなく、運用哲学そのものが異なります。
- 優先事項の根本的相違
- IT環境では機密性(Confidentiality)が最優先であり、データ漏洩の防止が中心的課題です。定期的なシステム更新やセキュリティパッチの適用が可能で、必要に応じて計画的な停止が許容されます。一方、OT環境では可用性(Availability)と安全性(Safety)が何よりも優先されます。製造ラインや発電所は24時間365日の連続稼働が求められ、計画外の停止は多大な経済的損失や物理的危険をもたらします。このため、セキュリティパッチの適用すら慎重な計画が必要です。
- システムライフサイクルの違い
- IT機器は通常3年から5年で更新サイクルが回りますが、OT機器は10年から20年、場合によっては30年以上も稼働し続けます。制御システムの多くは設置時の最新技術で構築されますが、長期運用の間に技術は進化し、当初のシステムはレガシー化します。古いプロトコルや暗号化技術を使い続けることになり、現代のセキュリティ基準に適合させることが困難です。パッチ適用もベンダーサポートが終了していることが多く、物理的な更新には莫大なコストと長期の計画停止が必要です。
- 攻撃による影響の深刻度
- IT環境への攻撃は、データ漏洩、業務システムの停止、金銭的損失などをもたらします。深刻ですが、基本的にはデジタル領域内の被害です。対してOT環境への攻撃は、物理的な被害、人命へのリスク、環境破壊など、デジタル空間を超えた現実世界への影響を及ぼします。製造ラインの暴走、発電所の緊急停止、化学プラントの爆発、水道システムの汚染など、その影響の深刻度は桁違いです。このため、セキュリティと安全性を統合的に考える必要があります。
表1:IT環境とOT環境の比較
| 要素 | IT環境 | OT環境 |
|---|---|---|
| 最優先事項 | 機密性(C-I-A) | 可用性・安全性(A-I-C) |
| 許容停止時間 | 計画的停止可能 | 停止は重大損失 |
| 更新サイクル | 3-5年 | 10-30年以上 |
| パッチ適用 | 定期的・迅速 | 慎重・年1-2回 |
| ネットワーク | インターネット接続 | 隔離が原則 |
| 主な脅威 | データ窃取、ランサムウェア | 物理的破壊、安全性侵害 |
| 障害の影響 | 業務停止、情報漏洩 | 人命リスク、環境破壊、経済的大損失 |
| 運用体制 | IT部門 | OT部門(エンジニアリング) |
| 主な規制 | 個人情報保護法、GDPR | IEC 62443、業界固有安全基準 |
| 変更管理 | 柔軟 | 厳格な承認プロセス |
現実の攻撃事例と教訓
理論ではなく、実際に発生した攻撃事例から、OTセキュリティの重要性と課題を理解します。
Stuxnet:OT攻撃の転換点
2010年に発見されたStuxnetは、イランの核施設のウラン濃縮用遠心分離機を標的とした史上初の本格的なOT攻撃です。複数のゼロデイ脆弱性を利用し、SiemensのSTEP 7ソフトウェアとPLCを感染させました。
攻撃の巧妙さは、遠心分離機の回転数を異常な速度に変更しながら、監視システムには正常値を表示し続けた点です。物理的な破壊を引き起こしつつ、オペレーターには異常が見えませんでした。
教訓として、①エアギャップ(物理的隔離)は完全な防御ではない、②USBメモリなどの持ち込み媒体が侵入経路になる、③OT機器固有の脆弱性が標的になる、④正常値を表示する欺瞞は検知を困難にする、という点が明らかになりました。
TRITON/TRISIS:安全システムへの直接攻撃
2017年に中東の石油化学プラントで発見されたTRITON(TRISISとも呼ばれる)は、安全計装システム(SIS)を標的とした極めて危険なマルウェアです。Schneider ElectricのTriconex安全コントローラーを書き換え、安全機能を無効化しようとしました。
幸い、マルウェアのバグによりシステムがフェイルセーフモードに入り、大規模な爆発や環境災害は回避されました。しかし、攻撃が成功していれば、人命と環境に壊滅的な被害をもたらしていた可能性があります。
教訓は、①安全システムそのものが攻撃対象になる、②高度な技術知識を持つ攻撃者が存在する、③検知が非常に困難、④フェイルセーフ設計の重要性、です。
Colonial Pipeline:サプライチェーンへの影響
2021年5月、米国最大級の燃料パイプラインを運営するColonial Pipelineがランサムウェア攻撃を受け、約1週間の操業停止に追い込まれました。直接的にはIT系システムが標的でしたが、OTシステムへの影響を恐れて予防的に全体を停止しました。
米国東海岸のガソリン供給に深刻な影響を与え、社会インフラの脆弱性が露呈しました。440万ドル(約4億8000万円)の身代金が支払われました。
教訓として、①IT/OT境界の防御の重要性、②サプライチェーン攻撃の社会的影響、③ビジネス継続計画の必要性、④インシデント対応計画の不可欠性、が明確になりました。
IoT/OT環境の脆弱性実態
多くのIoT/OT環境には、深刻な脆弱性が存在します。これらは技術的な欠陥というより、設計思想と運用上の制約から生じています。
デフォルト認証の放置
多くの産業用機器は、出荷時のデフォルトパスワードが変更されないまま運用されています。製造ベンダーが公開している初期パスワードや、業界で広く知られた認証情報が使い回されることも多く、攻撃者にとって容易な侵入経路となります。
運用上の理由(複数の保守ベンダーのアクセス、緊急時の迅速な対応など)で、意図的に単純な認証が維持されることもあります。
暗号化されていない通信
レガシーな産業用プロトコル(Modbus、DNP3の古いバージョンなど)の多くは、設計当初からセキュリティが考慮されておらず、平文での通信が行われます。通信内容の盗聴、改ざんが技術的に容易です。
暗号化を追加実装すると、リアルタイム性が求められる制御システムではレイテンシが問題になることもあり、セキュリティと性能のトレードオフが発生します。
パッチ未適用の長期化
前述のように、OT環境ではパッチ適用が極めて困難です。計画停止の機会は年に1回から2回程度しかなく、その間に発見された脆弱性は長期間未対策のままとなります。
また、パッチ適用によるシステムの不安定化リスクを恐れ、「動いているものには触らない」という保守的な運用が選択されることも多くあります。
Purdueモデルとセグメンテーション|階層防御
産業制御システムのセキュリティ設計において、Purdue Reference Model(Purdueモデル)は国際的に広く採用されている階層構造です。このモデルに基づいたネットワークセグメンテーションが、OTセキュリティの基盤となります。
Purdueモデルの階層構造
Purdueモデルは、産業制御システムを6つの階層(レベル0からレベル5)に分類し、各層の役割と必要なセキュリティ対策を明確化します。
- レベル0-1:物理プロセスとセンサー/アクチュエーター層
- レベル0は物理的なプロセスそのもの(製造装置、タービン、ポンプなど)です。レベル1はこれらを直接制御するセンサーとアクチュエーター、PLC(Programmable Logic Controller)、DCS(Distributed Control System)、RTU(Remote Terminal Unit)が含まれます。ここは最も重要な保護対象であり、物理的な被害に直結する層です。直接的なネットワーク接続は最小限に抑え、厳格なアクセス制御が必須です。変更管理も最も厳格に行われます。
- レベル2-3:監視制御と製造運用層
- レベル2はSCADA(Supervisory Control and Data Acquisition)システム、HMI(Human Machine Interface)、ヒストリアン(データ収集・保管)が配置されます。オペレーターが監視と制御を行う層です。レベル3はMES(Manufacturing Execution System)やPIMS(Process Information Management System)など、製造実行管理が行われます。この層はIT/OTの境界となることが多く、セキュリティの要となります。DMZ(非武装地帯)を設けて厳密な通信制御を実施します。
- レベル4-5:ビジネスロジスティクスと企業ネットワーク層
- レベル4はERP(Enterprise Resource Planning)、生産計画システムなど、ビジネスシステムが稼働します。レベル5は企業全体のネットワークで、一般的なIT環境です。インターネットへの接続もこの層から行われます。ここは攻撃の入口になりやすく、強固な境界防御が必要です。下位層への侵入を防ぐため、多層防御を実装します。
表2:Purdueモデルの階層構造と役割
| レベル | 名称 | 主な機能・機器 | セキュリティ優先度 | 接続性 | 主なリスク |
|---|---|---|---|---|---|
| 5 | 企業ネットワーク | インターネット、メール、社内システム | 機密性重視 | インターネット接続 | マルウェア侵入の入口 |
| 4 | ビジネスシステム | ERP、生産計画、在庫管理 | 可用性・機密性 | 企業内ネットワーク | IT/OT境界の弱点 |
| 3.5 | DMZ(境界層) | データダイオード、ジャンプサーバー | 極めて重要 | 厳格に制御 | 不適切な設定 |
| 3 | 製造運用管理 | MES、PIMS、ヒストリアン | 可用性重視 | 制限的接続 | 横展開の経路 |
| 2 | 監視制御 | SCADA、HMI、エンジニアリングWS | 可用性最優先 | OT内部のみ | 不正操作、監視妨害 |
| 1 | 基本制御 | PLC、DCS、RTU | 安全性・可用性 | 最小限 | 直接的な制御乗っ取り |
| 0 | 物理プロセス | センサー、アクチュエーター、機械 | 安全性最優先 | 物理的のみ | 物理的破壊 |
DMZ設計による境界防御
IT環境とOT環境の境界には、DMZ(DeMilitarized Zone:非武装地帯)を設けることが強く推奨されます。双方向の通信を完全に遮断せず、必要なデータ連携を行いつつ、セキュリティを確保する設計です。
データダイオードによる一方向通信
最も強固な隔離手段は、データダイオード(Data Diode)です。物理的に一方向の通信のみを許可するハードウェアデバイスで、OTからITへのデータ送信は可能ですが、逆方向は物理的に不可能です。
これにより、IT側からのマルウェア侵入や不正アクセスを完全に遮断できます。ただし、双方向通信が必要な用途では使用できないため、適用範囲は限定的です。監視データの収集や、ログの転送など、一方向で十分な用途に適しています。
ジャンプサーバーの配置
保守やリモートアクセスのために、DMZ内にジャンプサーバー(踏み台サーバー)を配置します。外部からのアクセスは全てこのサーバーを経由し、多要素認証、セッション記録、厳格なアクセスログ管理を実施します。
直接OT環境への接続を許可せず、ジャンプサーバー上での操作のみに制限することで、アクセス制御を一元化し、監査証跡を確保できます。
プロキシとアプリケーションレベル検査
プロトコルブレーキングプロキシを配置し、IT/OT間の通信を一度終端させます。アプリケーションレベルでの詳細な検査を行い、許可されたコマンドやデータのみを転送します。
これにより、悪意のあるペイロードや不正なコマンドを遮断し、プロトコルの悪用を防ぎます。
マイクロセグメンテーションによる内部防御
Purdueモデルの各階層内でも、さらに細かいセグメント分割を行うマイクロセグメンテーションが推奨されます。横展開(ラテラルムーブメント)を防ぎ、被害の拡大を最小限に抑えます。
製造ライン単位での分離
各製造ラインや製造セルを独立したネットワークセグメントに分離します。一つのラインがマルウェアに感染しても、他のラインへの影響を防ぎます。
ライン間の通信は、必要最小限の制御信号のみに制限し、ファイアウォールで厳格に管理します。
ベンダーリモートアクセスの隔離
保守ベンダーのリモートアクセスは、専用のセグメントに隔離します。VPN接続、多要素認証、時間制限、アクセス先の限定など、多層的な制御を実施します。
セッションは常に監視され、記録されます。作業終了後は速やかにアクセス権を無効化します。
無線ネットワークの厳格な管理
産業用無線(Wi-Fi、Bluetooth、LoRa、5G)は、ボットネット化のリスクもあり、特別な注意が必要です。可能な限り有線接続を優先し、無線が必要な場合は専用のSSID、強固な暗号化(WPA3)、証明書ベース認証を実装します。
ゲストネットワークや事務用Wi-FiとOT用無線は完全に分離します。
IoTデバイス保護|大量・多様な機器管理
Industrial IoT(IIoT)やスマートファクトリーの推進により、工場内のIoTデバイス数は爆発的に増加しています。多種多様なデバイスを安全に管理することが、現代のOTセキュリティの大きな課題です。
全デバイスの可視化と管理
見えないものは守れません。IoTデバイスの包括的な管理は、資産の棚卸しから始まります。
- 継続的な資産棚卸しと自動検出
- 全てのIoTデバイスを可視化することが第一歩です。手動での管理台帳作成は膨大な労力が必要で、しかも更新が追いつきません。自動検出ツール(Nozomi Networks、Claroty、Armis等)を活用し、ネットワークに接続された全デバイスを継続的にスキャンします。製造元、モデル、ファームウェアバージョン、通信パターンなどを自動で識別し、データベース化します。特に「影のIoT」(勝手に持ち込まれた非公認デバイス)の検出は、セキュリティリスク管理の要です。継続的な監視により、新規デバイスの追加や変更を即座に検知します。
- デバイス認証とゼロトラスト適用
- 各IoTデバイスに固有の識別子を割り当て、証明書ベースの認証を実装します。デバイスIDを管理するPKI(Public Key Infrastructure)を構築し、なりすましデバイスを排除します。[ゼロトラストネットワーク](/security/devices/malware-infection/column/solutions/zero-trust-network/)の原則を適用し、「信頼されたネットワークに接続しているから安全」という前提を排除します。全てのデバイスとセッションを継続的に検証し、最小権限の原則に基づいてアクセスを制限します。
- ファームウェア管理とサプライチェーンリスク対策
- IoTデバイスのファームウェア更新は、セキュリティ維持に不可欠ですが、[サプライチェーン攻撃](/security/cloud-supply/supply-chain/)のリスクもあります。ファームウェアの署名検証を必須とし、信頼できる提供元からのみ更新を受け入れます。可能であれば、自動更新機能を実装しますが、OT環境では事前のテスト環境での検証が必須です。問題が発生した場合に備え、ロールバック機能を確保します。ベンダーのセキュリティサポート期間を確認し、サポート終了機器の計画的な更新を行います。
IoT通信の保護
IoTデバイス間の通信、およびデバイスとクラウド間の通信を保護することで、盗聴や改ざんを防ぎます。
エンドツーエンド暗号化の実装
センサーからクラウドまでの全経路で暗号化を実装します。TLS 1.3やDTLS(Datagram TLS)を使用し、軽量暗号化プロトコルも検討します。
リソースが限られたIoTデバイスでは、暗号化がパフォーマンスに影響することがありますが、セキュリティを犠牲にしてはいけません。ハードウェアベースの暗号化アクセラレーターを持つデバイスを選定することが望ましいです。
VPN/専用線による通信保護
重要なIoT通信は、VPN(Virtual Private Network)や専用線を通じて行います。公衆インターネットを経由する場合でも、暗号化されたトンネル内で通信することで、盗聴や中間者攻撃を防ぎます。
産業用途では、SD-WAN(Software-Defined Wide Area Network)の採用も進んでおり、柔軟な通信制御とセキュリティを両立できます。
プロトコルとポートの厳格な制限
IoTデバイスが使用できる通信プロトコルとポートを、業務上必要最小限に制限します。ホワイトリスト方式で許可する通信のみを定義し、それ以外は全て遮断します。
不要なサービス(Telnet、FTP、SMBなど)は無効化し、セキュアな代替手段(SSH、SFTP、SMB3)を使用します。
エッジコンピューティングの活用
クラウドに全データを送信するのではなく、エッジ(デバイス近傍)で処理を行うエッジコンピューティングは、セキュリティ面でも利点があります。
ローカル処理による通信量削減
エッジデバイスでデータの前処理、集約、フィルタリングを行うことで、外部への通信量を大幅に削減できます。通信量が減れば、攻撃の対象となる通信経路も減少します。
リアルタイム処理が可能になり、クラウドとの通信遅延に依存しない制御も実現できます。
データフィルタリングと匿名化
機微情報や個人を特定できる情報は、エッジ段階でフィルタリングまたは匿名化します。必要な統計情報のみをクラウドに送信することで、データ漏洩時の影響を最小化します。
エッジセキュリティの強化
エッジゲートウェイに、ファイアウォール、IDS/IPS、マルウェア検知機能を実装します。エッジレベルでの脅威検知と遮断により、中央システムへの攻撃を水際で防ぎます。
エッジデバイス自体のセキュリティ(物理的保護、改ざん検知、セキュアブートなど)も重要です。
産業用プロトコル保護|特殊な通信要件
産業制御システムでは、IT環境とは異なる専用プロトコルが使用されます。これらのプロトコルの多くは、セキュリティよりも信頼性とリアルタイム性を重視して設計されており、現代のサイバー脅威への対応が課題です。
主要なOT通信プロトコル
産業環境で広く使用されるプロトコルの特徴とセキュリティ対策を理解します。
- Modbus:最も広く使用されるレガシープロトコル
- 1979年に開発されたModbusは、シンプルで広く普及していますが、認証機能がなく、通信は平文です。Modbus RTU(シリアル通信)とModbus/TCP(TCP/IP)の2種類があります。セキュリティ対策として、①Modbus専用ファイアウォールの配置、②Deep Packet Inspection(DPI)による通信内容の検査、③VPNによる通信の暗号化、④ホワイトリスト型のアクセス制御、⑤通信の継続的監視による異常検知、が必要です。完全に置き換えることは困難なため、補償的管理策での保護が現実的です。
- DNP3:電力業界の標準プロトコル
- Distributed Network Protocol 3は、電力業界で広く使用されるプロトコルです。Modbusより新しく、セキュア認証(DNP3-SA: Secure Authentication)のオプションがあります。暗号化と認証機能をサポートしますが、レガシー機器では実装されていないことも多いです。新規導入や更新時には、DNP3-SAの実装を強く推奨します。鍵管理と証明書管理の体制整備が必要です。
- OPC UA:最新の統合標準
- OPC Unified Architectureは、セキュリティが設計段階から組み込まれた最新の産業用通信標準です。暗号化、認証、アクセス制御、監査ログなど、包括的なセキュリティ機能を持ちます。IT/OT統合に適しており、クラウド連携も容易です。新規システムでは、OPC UAの採用を積極的に検討すべきです。ただし、レガシーシステムとの互換性や、既存のModbus/DNP3からの移行には時間とコストがかかります。
表3:主要産業用プロトコルの特徴と対策
| プロトコル | 開発年 | 主な用途 | 認証 | 暗号化 | セキュリティレベル | 推奨対策 |
|---|---|---|---|---|---|---|
| Modbus RTU/TCP | 1979 | 製造業全般 | なし | なし | 低 | 専用FW、VPN、監視 |
| DNP3 | 1993 | 電力・水道 | SA版のみ | SA版のみ | 中(SA版は高) | DNP3-SA実装推奨 |
| BACnet | 1995 | ビル管理 | オプション | オプション | 中 | BACnet/SC採用 |
| EtherNet/IP | 2000 | 製造業 | CIP Securityで可能 | 同上 | 中〜高 | CIP Security実装 |
| PROFINET | 2003 | 製造業 | オプション | オプション | 中 | セキュリティモジュール |
| OPC UA | 2008 | 全業界 | あり | あり | 高 | 新規導入推奨 |
産業用ファイアウォールの実装
一般的なITファイアウォールは、産業用プロトコルを理解できません。産業用ファイアウォール(または次世代ファイアウォール with ICS機能)が必要です。
プロトコル認識とディープパケットインスペクション
産業用ファイアウォールは、Modbus、DNP3、EtherNet/IP、PROFINETなどのプロトコルを理解し、アプリケーションレベルでのフィルタリングが可能です。
例えば、「PLCへの書き込みコマンドは許可するが、ファームウェア更新コマンドは特定の管理端末からのみ許可」といった細かい制御ができます。
ホワイトリスト型アクセス制御
OT環境では、通信パターンが比較的固定的です。許可する通信を明示的に定義し、それ以外は全て遮断するホワイトリスト方式が効果的です。
「PLCからSCADAへのステータス報告」「HMIからPLCへの制御コマンド」など、正常な通信を定義し、逸脱を検知します。
異常検知と振る舞い分析
ベースラインとなる正常な通信パターンを学習し、異常な振る舞いを検知します。例えば、通常はデータを読み取るだけの端末が、突然書き込みコマンドを送信した場合、マルウェア感染の可能性があります。
機械学習を活用した異常検知も、産業用セキュリティ製品に組み込まれつつあります。
OT専門のSOC体制構築
IT向けのSOC(Security Operations Center)とは別に、OT専門の監視体制を構築する組織が増えています。
OT環境に特化した専門監視
OTシステムの正常動作を理解し、異常を的確に検知できる専門チームが必要です。CSIRT/SOCの一部としてOT担当を配置するか、独立したOT-SOCを構築します。
24時間365日の監視体制を整え、異常検知時には即座に対応できる体制が理想です。
OT特化型セキュリティツールの活用
Nozomi Networks、Claroty、Dragos、Armis、ForeScoutなど、OT/ICS環境に特化したセキュリティ監視ツールを導入します。
パッシブ監視(ネットワークトラフィックのミラーリングによる非侵襲的監視)により、既存システムに影響を与えずに可視化と異常検知を実現します。
OTインシデント対応プレイブック
IT環境とは異なるOT環境でのインシデント対応手順を文書化します。安全性を最優先し、緊急停止の判断基準、隔離手順、復旧手順を明確にします。
定期的な訓練(テーブルトップエクササイズ、レッドチーム演習)により、実効性を高めます。
実装と運用|現実的かつ段階的なアプローチ
理想的なセキュリティ対策を一気に実装することは、OT環境では非現実的です。段階的かつ計画的なアプローチが成功の鍵です。
成熟度に応じた段階的実装
組織の現状と目標を踏まえ、実現可能なロードマップを作成します。
- フェーズ1:可視化と現状理解(3-6ヶ月)
- 現状を知ることが全ての出発点です。①全OT資産の棚卸し(デバイス、システム、ネットワーク構成)、②通信フローの可視化(何と何が通信しているか)、③リスク評価とギャップ分析(現状と望ましい状態の差)、④優先順位の決定(リスクと実現可能性のバランス)を実施します。パッシブ型監視ツールを導入し、システムに影響を与えずに情報を収集します。この段階では大規模な変更は行わず、理解に徹します。
- フェーズ2:基本対策の実装(6-12ヶ月)
- Quick Win(早期に成果が見える施策)を重視し、リスクの高い領域から対策します。①IT/OT境界のネットワーク分離とファイアウォール設置、②基本的なアクセス制御(デフォルトパスワード変更、不要アカウント削除)、③リモートアクセスの管理強化(VPN、多要素認証、ログ記録)、④基礎的な監視体制の構築、⑤インシデント対応計画の策定、を実施します。完璧を求めず、80%の効果を20%の労力で達成する施策を優先します。
- フェーズ3:高度化と継続的改善(継続的取り組み)
- 基盤が整った後、より高度な対策へと進化します。①異常検知システムの導入と最適化、②マイクロセグメンテーションの実装、③脅威インテリジェンスの活用、④自動対応機能の実装(SOAR)、⑤定期的なペネトレーションテストと脆弱性評価、⑥セキュリティ成熟度の継続的向上、を推進します。セキュリティは一度実装したら終わりではなく、継続的な改善活動です。
表4:IoT/OTセキュリティ対策マトリクス
| 対策領域 | 基本レベル | 中級レベル | 高度レベル |
|---|---|---|---|
| ネットワーク | IT/OT境界分離、基本FW | DMZ構築、マイクロセグメント | データダイオード、ゼロトラスト |
| アクセス管理 | パスワード変更、不要ID削除 | 多要素認証、最小権限 | 証明書認証、動的アクセス制御 |
| 監視・検知 | ログ収集、基本監視 | SIEM統合、異常検知 | AI/ML活用、脅威ハンティング |
| デバイス管理 | 資産台帳作成 | 自動検出、脆弱性管理 | デバイス認証、自動パッチ適用 |
| プロトコル | 通信制限、VPN | 産業用FW、DPI | セキュアプロトコル移行 |
| 体制・運用 | 兼務担当者配置 | 専任チーム、手順書整備 | OT-SOC、自動対応 |
ベンダー管理と保守作業の統制
外部ベンダーによる保守作業は、OT環境では避けられませんが、セキュリティリスクでもあります。
リモートアクセスの厳格な管理
ベンダーのリモートアクセスは、①事前申請と承認、②時間制限(作業時間のみ有効)、③アクセス範囲の限定(必要な機器のみ)、④多要素認証の必須化、⑤セッション記録と監視、⑥作業完了後の即時無効化、を徹底します。
可能であれば、VDI(仮想デスクトップ)経由でアクセスさせ、データの持ち出しを制限します。
オンサイト保守作業の管理
ベンダー技術者の現地作業では、①入退室管理と同行、②持ち込み機器の事前承認とマルウェアスキャン、③USBメモリや外部媒体の制限、④作業内容の記録と事後確認、⑤作業後の変更点の文書化、を実施します。
信頼できるベンダーであっても、手順を省略せず、一貫した管理を行います。
規制・基準への対応
OTセキュリティには、業界固有の規制や基準が存在します。コンプライアンスと実効性の両立が求められます。
IEC 62443:産業用セキュリティの国際標準
IEC 62443は、産業用自動化・制御システムのセキュリティに関する国際規格です。システムライフサイクル全体をカバーし、組織、技術、プロセスの各側面を規定しています。
4つのパート(一般、ポリシー、システム、コンポーネント)から構成され、段階的な実装が可能です。認証取得により、顧客や取引先への信頼性アピールにもなります。
NIST Cybersecurity Frameworkの活用
米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワークは、OT環境にも適用可能です。5つの機能(識別、防御、検知、対応、復旧)を軸に、成熟度を段階的に向上させます。
特にNIST SP 800-82「Guide to Industrial Control Systems (ICS) Security」は、OTセキュリティの実践的ガイドとして有用です。
業界固有の規制基準
電力業界(NERC CIP)、上下水道、化学プラント(CFATS)、医療機器など、業界ごとに固有の規制があります。自組織が該当する規制を正確に把握し、コンプライアンスを確保します。
規制対応を単なるチェックボックス作業ではなく、実質的なセキュリティ向上の機会として活用します。
表5:段階的実装ロードマップ(24ヶ月計画の例)
| フェーズ | 期間 | 主要活動 | 成果物・マイルストーン |
|---|---|---|---|
| 準備 | 0-3ヶ月 | 経営層承認、予算確保、チーム編成 | プロジェクト憲章、予算承認 |
| 可視化 | 3-6ヶ月 | 資産棚卸、通信フロー分析、リスク評価 | 資産台帳、ネットワークマップ、リスク評価書 |
| 基本対策I | 6-12ヶ月 | IT/OT分離、FW設置、アクセス管理 | ネットワーク分離完了、ポリシー策定 |
| 基本対策II | 12-18ヶ月 | 監視体制構築、インシデント対応整備 | SOC体制稼働、対応手順書 |
| 高度化 | 18-24ヶ月 | 異常検知導入、マイクロセグメント | 高度監視稼働、成熟度評価 |
| 継続改善 | 24ヶ月以降 | 継続的評価、新技術導入、訓練実施 | 年次評価レポート、改善計画 |
よくある質問
- Q: OT環境でもセキュリティパッチの適用は必要ですか?
- A: 必要ですが、IT環境とは異なる慎重なアプローチが求められます。OT環境特有の課題として、①24時間365日稼働で停止が困難、②ベンダー認証が必要で独自適用不可、③パッチ適用による互換性リスクや不安定化、④テスト環境が限られる、があります。現実的な対策として、①計画停止時の一括適用(年1回から2回の定期メンテナンス時)、②仮想パッチング(IPS/IPSによる脆弱性保護)、③補償的管理策(ネットワーク分離、アクセス制限)、④テスト環境での事前検証、⑤リスクベースの優先順位付け(露出度と重要度で判断)、を実施します。完璧なパッチ適用より、計画的・段階的な改善が現実的かつ効果的です。
- Q: 10年以上前のレガシーOTシステムをどう保護すべきですか?
- A: 多層防御と補償的管理策で対応します。レガシーシステムは更新が困難ですが、放置はできません。推奨対策として、①ネットワーク分離の徹底(エアギャップが可能なら最善、不可能なら厳格なファイアウォール)、②前段にセキュリティゲートウェイやプロキシを配置、③通信の厳格な制限(ホワイトリスト方式)、④物理的アクセス制御の強化(入退室管理、施錠)、⑤監視の強化による異常の早期発見、⑥レガシーシステムを使い続けるリスクの定期的評価、を実施します。中長期的には、段階的なモダナイゼーション計画を立案します。「触れない」ではなく「守りながら使う」方針で、事業継続とセキュリティを両立させます。
- Q: IT部門とOT部門の連携をどう進めるべきですか?
- A: 相互理解と段階的な統合が成功の鍵です。よくある課題として、①組織文化の違い(IT:革新重視 vs OT:安定重視)、②優先順位の相違(機密性 vs 可用性)、③専門用語や技術スタックの壁、④責任範囲の不明確さ、があります。効果的な対策として、①共同ワークショップで互いの課題と制約を理解、②統合セキュリティ委員会の設置(両部門の代表が参加)、③段階的な責任統合(境界管理→監視→インシデント対応)、④OT環境を理解できるセキュリティ人材の育成、⑤明確な役割分担と意思決定プロセスの文書化、を進めます。成功要因は、OT側の安全性重視を尊重しつつ、IT側のセキュリティ知見を活用することです。対立ではなく協力により、組織全体のレジリエンスを向上させます。
- Q: Industrial IoT(IIoT)を導入する際のセキュリティ考慮点は?
- A: 設計段階からのセキュリティバイデザインが必須です。導入時の重要考慮点として、①デバイス選定時のセキュリティ機能確認(暗号化、認証、更新機能の有無)、②専用ネットワークセグメントの構築(既存OTや企業ネットワークとの分離)、③エッジコンピューティング活用による通信量とリスクの削減、④エンドツーエンドの暗号化と証明書ベース認証の実装、⑤継続的な脆弱性管理とパッチ適用計画、⑥データ収集・保管・利用のプライバシー考慮、があります。ベンダー選定では、セキュリティサポート期間、定期的なアップデート提供、インシデント発生時の対応体制を必ず確認します。PoC(概念実証)で本番環境に入れる前に十分な検証を行います。効率化と生産性向上とセキュリティを両立する設計が、長期的な成功につながります。
まとめ|IoT/OTセキュリティの統合的アプローチ
IoT/OTセキュリティは、従来のITセキュリティとは異なる専門性と配慮が必要です。可用性と安全性を最優先しながら、進化するサイバー脅威に対処する複雑な課題です。
成功の鍵は、①IT/OTの違いを深く理解する、②Purdueモデルに基づく階層的防御、③IoTデバイスの包括的管理、④産業用プロトコルへの適切な対策、⑤段階的かつ現実的な実装、⑥IT部門とOT部門の効果的な連携、にあります。
完璧を一度に実現することは不可能です。現状を正確に把握し、優先順位をつけ、段階的に成熟度を高めることが現実的なアプローチです。セキュリティは事業を止めるためではなく、事業を守り継続させるためのものです。
マルウェア感染対策の一環として、IoT/OT環境のセキュリティを強化し、デジタルとフィジカルが融合した時代のレジリエンスを構築しましょう。
関連リソースとさらなる学習
【重要なお知らせ】
本記事は一般的な情報提供を目的としており、個別の産業環境やシステムに対する具体的な助言ではありません。IoT/OTセキュリティの実装は、安全性に直接影響する可能性があるため、専門家の指導のもとで慎重に行う必要があります。実際のセキュリティ対策実施にあたっては、OTセキュリティ専門のコンサルタント、システムインテグレーター、機器ベンダーなどの専門家にご相談ください。特に安全計装システム(SIS)や重要インフラに関わる変更は、関連法規制と業界基準を遵守し、十分なテストと承認プロセスを経て実施してください。記載内容は作成時点の情報であり、技術や脅威は日々進化しています。最新の情報は、IEC、NIST、IPA等の公的機関や専門ベンダーの公式情報をご確認ください。
更新履歴
- 初稿公開
