オペレーショナルテクノロジーのセキュリティを保護するための10の戦略

大半の企業は既にIT環境についてセキュリティ戦略を持っていますが、物理的なオペレーション管理・制御に利用されるデバイスやプロセスなどを含むオペレーショナルテクノロジー（OT）のセキュリティ保護となると、多くの企業がまだそれほど具体的には取り組んでいません。しかし、産業システムやその他のOTシステムがますますデジタルに接続されるようになっているため、OTのサイバーセキュリティは極めて重要になっています。

OTは、ビジネス、生産、サプライチェーンのオペレーション全体にとって非常に重要であり、リスクや課題は数多くあります。旧式のシステムや、サードパーティによるアクセス、ITの脆弱性といった要因によってオペレーションが中断しやすくなり、生産が停止したり、納品が遅れたりする危険性があります。さらに、地政学的な緊張の高まりや、サイバーセキュリティ法規制の強化、AIを駆使した攻撃ツールの高度化も相まって、OTのセキュリティに対するリスクは増大し続けています。

このため企業や組織は、標準的なITセキュリティの範囲を超えて、サイバーセキュリティの取り組みを拡大させる必要があります。

世界をリードするセキュリティサービスプロバイダーの1社であるDXC Technologyには、さまざまな業界で遭遇することの多いOTの課題について、包括的で実践的な経験があります。ここでは、OTに関する一般的な課題について説明し、それらに取り組むための10の重大な戦略をご紹介します。

OTセキュリティとは

OTセキュリティの領域は広大ですが、基本的には産業用制御システム（ICS）や、デバイス、プロセスを管理および保護するために利用されるソフトウェアとハードウェアで構成されます。OTデバイスは、製造、輸送、石油およびガス、電気および公益事業をはじめとして、ほぼすべての業界で一般的に利用されています。OTシステムは、プロセスの監視、制御、自動化だけでなく、流通の管理にも利用されています。

OTデバイスの例としては、プログラマブルロジックコントローラー（PLC）、リモートターミナルユニット（RTU）、分散制御システム（DCS）、ヒューマンマシンインターフェイス（HMI）、監視制御（SCADA）システム、IoTデバイス、インダストリアルIoT（IIoT）デバイスなどがあります。

OTセキュリティは、従来のITセキュリティと同様に、制御、プロセス、デバイスに対する完全な多層防御（DiD: defense-in-depth）セキュリティスタックを網羅するものであり、両者のセキュリティ戦略の多くは類似しています（図1を参照）。

図1. OTの多層防御

OTセキュリティの主な課題

McKinsey & Companyによると、コロナ禍以降、OTシステムに対するサイバー攻撃が増加しています。Dragosによると、OTに対するサイバー脅威は2023年も引き続き進化し続けており、世界的な紛争により、脅威グループや、ランサムウェアの被害事例、その他の脅威活動が増加しています。2023年のClarotyのレポートによると、調査対象となった製造業にかかわる企業の54%がランサムウェア攻撃を受け、OTに影響が及んだことが報告されています。（直接的な攻撃と、接続されているITシステムへの攻撃の両方を含む）。これは、同社の2021年のレポートで報告された47%という記録から増加しています。

McKinseyによると、OTへのサイバー攻撃はITへの攻撃よりも被害が大きくなる傾向があります。これは、OTへの攻撃により、操業停止や物理的損傷が発生する可能性があるためです。さらに、ビジネスリーダーの約96%がOTサイバーセキュリティに投資する必要があると述べており、すでに投資している企業の約70%が実装面で課題に直面していることがMcKinseyによって指摘されています。

インシデントが発生する前の事前対応から、攻撃を受けている最中や攻撃後の対応まで、DXC Technologyは、ITサイバーセキュリティの課題に関して支援を必要とするお客様から多くの幅広いお問い合わせをいただいています。DXCはお客様の組織内だけではなく、DXC自身の業務においても大規模で複雑なIT環境とOT環境の保護に継続的に取り組むことで、さまざまな業界で最も一般的によく遭遇する次のようなOTの課題について、深い知識を備えています。

• 旧式のシステム：サポートが終了し、更新されない古いファームウェアやオペレーティングシステムがあると、最新のセキュリティ機能や新しい脅威に対する防御機能が欠けている場合があり、攻撃に対して脆弱になる可能性があります
• 相互接続されたシステム：お客様は自社のOT環境とIT環境が分離されていると理解している場合でも、DXCのフォレンジックチームとインシデント対応チームによって、外部からOTシステムへアクセスできる接続口が発見されることがよくあります。こうした接続口により、ITの脆弱性がOTセキュリティに影響し、生産が中断する危険性が高まります
• より高度な攻撃：攻撃者が悪用可能なAIベースのツールが急増し、ITセキュリティの場合と同様、OTセキュリティの領域でも攻撃がますます頻繁かつ複雑になり、検知が困難になっています。AIベースのツールは高頻度の攻撃を可能にするため、企業は攻撃を発見し阻止する方法を身に付ける必要に迫られています。これには高度な検出能力が必要です
• サプライチェーンのリスク：SolarWinds（2020年）やOkta（2023年）などのITセキュリティテクノロジーのソフトウェアベンダーやサービスベンダーに対する攻撃は、侵害されたソフトウェアを利用しているすべての組織に混乱をもたらす可能性があります。これは、OT用に特定のソリューションを導入している企業にも言えることです。組織自体に強力なサイバーセキュリティ防御がある場合でも、これにより生産ラインが停止する可能性があります
• リモートアクセスとサードパーティによるアクセス：大規模な工場施設では、制御デバイスに直接アクセスすることが困難だったり時間がかかったりする場合があります。これに対処するために、多くのデバイスでリモートアクセスが可能になっていますが、そのアクセステクノロジーが適切に保護されていない場合はリスクが増大します。さらに、サポート目的でサードパーティにコントローラーへのアクセスを許可すると、攻撃対象領域が広がります。OT環境についても、一般的な情報セキュリティの3要素（CIA）である機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）に従う必要があります
• インシデント対応：多くの組織は、IT環境に対しては高度なインシデント対応と復旧計画を備えていますが、これらの計画がOT環境にどのように適用されるかを明確に認識していないことがよくあります。さらに、これらの環境内の通信プロセスと資産の相互依存性を十分に把握していない可能性もあります
• 法規制の遵守：サービスや製品を販売するには、法規制を遵守し続けることが不可欠です。2023年1月に発効され、2024年10月までにEU各国の国内法への統合が求められているネットワークおよび情報システム指令（NIS2）などの最近の改正は、サービス提供に影響を与えるものであり、規制を遵守し続けるためには早期の取り組みが必要です。その他にも、NIST SP-800-82、ISA/IEC 62443、ENISA関連の要件や、業界固有の標準による影響があります

OTのセキュリティを保護する方法

組織の成熟度を効果的に評価するために、DXCでは通常、サイバーセキュリティの成熟度アセスメントを実施します。これらのアセスメントは、一般的な成熟度から、一般データ保護規則（GDPR）への準拠、ランサムウェア、OTの詳細な分析まで、幅広くカバーします。DXCは、上記の一般的な課題も考慮しながら評価結果を活用し、組織のOTセキュリティ体制を改善するための推奨事項を提案します。

DXCは、世界で最も複雑なIT資産とOT資産を保護してきた経験を活かして、主要な戦略を策定しました。

1)     検出作業と可視化作業を開始して、所有している資産を把握する。OTについても他のインフラストラクチャと同様に、保護できるのは認識しているものだけです。ITでもOTでも、構成管理データベース（CMDB）が環境の実際の状態を正確に表していないことがよくあります。多くのデータが古かったり、欠落していたり、不正確であったりします。これに対処するには、担当チームがOT環境で関連システムを監視し、検出作業を実施して新しいデバイスや未知のデバイスを特定し、古くなった資産や廃止された資産を削除します。

2)     ネットワークのセグメンテーション/隔離を実装する。IT環境を保護するための一般的な戦略として、ネットワークのセグメンテーションがあります。環境内でのラテラルムーブメントを阻止し、悪意のある攻撃者やソフトウェアがデバイスやコンポーネントの境界を越えないようにすることが目的です。

この戦略は、純粋に技術的なセグメンテーションであるか論理的なセグメンテーションであるかを超えたものであるため、OTセキュリティにも適用されます。また必然的に、セキュリティ層の導入も伴います。セキュリティ層のメカニズムが導入されると、セキュリティ要件が同じシステムは同一のセキュリティ境界内に置かれます。高いレベルのセキュリティを必要とする資産は、接続するときも、アクセスされるときも、相手のデバイスに同等のセキュリティ要件を求めます。サポートのためのサードパーティ接続や管理ワークステーションの接続など、セキュリティレベルの低いシステムを、セキュリティレベルの高いシステムに接続することは避けます。また、デバイスを更新したりセキュリティ保護したりできない場合は、それらのデバイスを隔離してアクセスを制限し、予期しない動作がないかどうか継続的に監視することが基本原則です。

3)     アクセス制限を定義して検証する。サポート業務中に、コントローラーやSCADAデバイスに接続するためのワイヤレスネットワークが十分に保護されておらず、環境に重大なリスクをもたらしている状況をよく目にします。

ネットワークのセグメンテーションでは、IT環境とOT環境で資格情報を別にするなど、堅牢な認証・承認手段を実装する必要もあります。

• IT管理アカウントに、OT環境内のシステムにアクセスして操作する権限を与えないこと
• OT資産へのアクセスは、セキュリティ保護され、監視された少数の定義済みチャネルに制限すること
• 可能な限り多要素認証（MFA）を利用し、最小権限およびゼロトラストアプローチを採用すること

4)     データフローを定義する。保護対象を把握するには、特定のアプリケーションとデバイスの通信要件を理解することも必要です。この作業では、どのプロトコルがどのルートで通信する必要があるかを特定するだけでなく、どのデータが特定のデバイスやコンポーネントに出入りするかを特定することも必要です。特定した結果に基づいて、必須のデータのみを許可し、それらを一般的なCIA原則に従って保護します。残念ながら実際には、すべてのポートが開いていて通信が無制限になっているため、環境に重大なリスクをもたらしていることがよくあります。

5)     ソフトウェアにパッチを適用する。前述のように、OT環境の古さと特性により、セキュリティ要件への対処が複雑になります。多くの場合、デバイスは特定の企業向けにカスタマイズされており、こうした特定の構成の中で厳密なテストと保証が行われます。しかし、ソフトウェアが変更されたり、システムにその他のパッチが適用されたりした場合は、ベンダーによる保証の対象外となります。その結果、適切な更新と保護が行われていない古いオペレーティングシステムを搭載したシステムが存在する状況が多く見られます。

6)     構成を更新する。OT環境は年月の経過とともに進化することが多く、初期構成では時代遅れになることがよくあります。古い制御デバイスの中にはセキュリティを優先していないものもあるため、担当チームは構成を定期的に確認し、厳重なセキュリティ対策を適用することが極めて重要です。さらに、セキュリティ設定が多層モデルに従うようにし、DiDモデルのすべての層でセキュリティ上の懸念事項に対処する必要があります。このアプローチにより、攻撃者が1つの層に侵入したりバイパスしたりしてその層を侵害した場合でも、下位の層が侵入を阻止できます。この原則を通信チェーン内のすべてのコンポーネントに必ず適用します。

7)     従業員の意識を高める。ITセキュリティの場合と同様に、最も効果的なOT対策は従業員の教育です。担当チームが環境内のリスクと一般的な攻撃方法を完全に理解していれば、組織は潜在的な攻撃を早期に検知しやすくなります。さらに、組織内でオープンなコミュニケーションの文化を育むことで、潜在的な弱点や疑わしいアクセスパターンについて従業員がフィードバックしやすい環境になります。誤検知については、改善の機会と見なします。報告アプローチを積極的に強化し、誤検知率の削減に努めることで、組織の検知能力を強化できます。

8)    最新のテクノロジーについて調査する。AIを悪用した攻撃の頻度と複雑さが増しているため、その検知と対応にもAIベースのツールを利用することを検討します。従来のアプローチではAIによってもたらされるリスクと攻撃対象領域の拡大に十分対処できない可能性が高いため、こうしたツールの導入は必須です。

9)     冗長性を導入する。組織の生産プロセスにおけるOTの重要な役割を考えると、冗長コンポーネントを展開できるかどうか、どこに展開できるのかを評価することが不可欠です。OTにおける冗長性戦略の主な領域には、ネットワーク、データ、電力、地理、デバイス、アプリケーションなどがあります。これらの冗長コンポーネントには必ずセキュリティ対策を適用します。

潜在的な悪意のある活動がすべての冗長システムに影響を及ぼすことがないように、冗長コンポーネントは互いに隔離します。この戦略により、複数組用意したシステムまたはコンポーネントがすべて侵害されてしまう状況を回避できます。

10)     バックアップを作成する。バックアップはすべてのセキュリティ戦略の基本原則であり、この原則はOTセキュリティについても同じです。可能な限り、コンポーネントのバックアップを作成して不変コンテナに保存し、ランサムウェアのリスクを軽減させます。バックアップインフラストラクチャもセキュリティ的に保護し、セキュリティ的に保護されていない資産に依存しないようにします。さらに、システムを迅速に再構築できるように、定期的にバックアップの機能をテストし、リカバリ手順のトレーニングを従業員向けに実施します。ITセキュリティの場合と同様に、リーダーはOTコンポーネントの許容可能なダウンタイムを定義する必要があります。OTの事業継続性の観点からOT環境について検討し、定期的に更新します。

図2は、OT環境でセキュリティ原則を効果的に適用する方法を示しています。重要なポイントと原則として、ネットワークのセグメンテーション、職務分掌、バックアップ、監視などが挙げられます。これらすべての制御にDiDアプローチが適用され、利用可能なすべての層に階層化セキュリティモデルが実装されていることが重要です。以下の図のシナリオでは、Microsoftのテクノロジーを活用して多くのセキュリティ原則が適用された製造環境が示されています。さまざまなベンダーを利用して、特定の要件と状況に基づき、各種の資産にわたって、ビジネスと連携したOTセキュリティインフラストラクチャをサポートすることが可能です。

図2. OTセキュリティ設計の概要例

OTセキュリティ対策の導入

AIが登場し、組織犯罪や国家の支援を受ける攻撃者の能力がますます高度になるなか、OTセキュリティの重大な侵害は避けられません。

OTセキュリティは、多くの組織にとってサイバーレジリエンスの構築における次のフロンティアです。組織がIT環境のセキュリティ保護の重要性を確実に理解し、ITセキュリティを全体的なセキュリティ戦略の重要な要素として認識したのであれば、次はすぐにOT側の運用に目を向ける必要があります。

世界をリードするセキュリティサービスプロバイダーの1社であるDXCは、ITライフサイクルのすべてのフェーズでセキュリティソリューションを提供し、世界中のあらゆる業界のお客様をサポートしています。この幅広いITセキュリティサービスの提供を通して、DXCは、お客様やDXC自身が直面しているほぼすべてのセキュリティ上の課題について、OTセキュリティも含め、実際の情報に基づいた知見を持っています。お客様が自社のOTサイバー成熟度に関して評価を行ったり、OTセキュリティへの取り組みを始めたりする際に、DXCはコンサルティング、計画、設計、テスト、実装、運用、移行、変革、その他の必要なサービスをご提供いたします。

DXCのセキュリティの詳細はこちら。