サイバー攻撃の対象は、いまや政府機関だけでなく、産業インフラや民間企業、製造業にも及んでいます。IoTやDXの進展によって便利になった一方で、セキュリティリスクは高まるばかり。工場やプラントの現場をどう守るかのOTセキュリティの重要性が高まっています。
ロックウェル・オートメーションは、米国にはじまり世界の自動化を推進してきたOTの専門家として、工場やプラントを守るOTセキュリティサービスを開始。日本でもはじめています。ロックウェル・オートメーションのOTセキュリティとはどんなものなのか?ロックウェル オートメーション ジャパンNSSアプリケーションコンサルタント ソリューション&サービスの白淳石氏に聞きました。
OTセキュリティ=制御システムをサイバー攻撃から守る
ーー最近OTセキュリティという言葉をよく聞くようになっています。分かりやすく一言でまとめると一体どんなものですか?
産業インフラや工場、プラントをはじめ、ビル施設や設備に備え付けられている機械は、すべて制御システムで稼働しています。OTはオペレーションテクノロジー、いわゆるそうした現場や機械を制御する技術のことであり、OTセキュリティとは、制御システムをサイバー攻撃から守る技術・サービスのことを指します。
デジタル化の進展によって急増してきたOTへのサイバー攻撃
ーーOTに対する攻撃が増えているということですか?
その通りです。以前は国の重要インフラを攻撃対象としていたのが、近年は民間企業もターゲットになっています。
日本の製造業でも被害が発生しています。例えば「JPCERT/CCインシデント報告レポート、情報セキュリティインシデントの件数の推移」によると2018年にはインシデント報告件数が1万6398件だったのに対し、2022年には5万3921件に急増しています。特に民間企業での被害件数が増えていて、つい最近も自動車メーカーと関連部品メーカー、行政が管理する港湾施設がサイバー攻撃を受け、工場停止やサプライチェーン混乱がありました。
サイバー攻撃は高度化・巧妙化していて、ランサムウェア攻撃や特定の企業を狙う標的型攻撃など多種多様になっています。また工場のIoT化にともなってセキュリティリスクが増加しており、工場内のあらゆるものがつながるようになって攻撃の起点が増加したことで広く、浅く影響を及ぼしています。
世界規模でOTへの攻撃を懸念 国際標準も整備
ーー心配ですね
政府や業界もOTセキュリティに対して懸念しており、業界標準やガイドラインを整備してOTのサイバーセキュリティ対策の強化を促しています。
例えば、経済産業省 産業サイバーセキュリティ研究会は2022年11月に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」をまとめていますし、グローバルでもIEC(国際電気標準会議)とISA99は共同でOTセキュリティの国際規格「IEC62443」を策定しています。
米国でも、米国国立標準研究所(NIST)が「NIST-CSF」として重要インフラのサイバーセキュリティ向上のため、識別(Identify) 、防御(Protect)、検知(Detect)、対応( Respond)、復旧(Recover)の5つのコアで構成されたフレームワークを策定し提示しています。
OTならではのセキュリティの課題と対策
ーーOTはITに比べてセキュリティ対策が弱いと言われます
もともとOTは自社の閉じたネットワークで運用されることを前提として設計されてきました。機器やシステム同士をつないだり、インターネットにつながることが当たり前になったのは最近の話です。
そのためOTは旧式のシステムを中心としたレガシーシステムになっていて、そこにはセキュリティのためのバッチが適用されていなかったり、ネットワークについてもセグメンテーションがされていない形で構築されていたりします。
ーーどう対応すればいいのでしょうか?
OTセキュリティを堅牢にするには、生産設備などOT資産とプロセスを可視化し、アクセス管理を厳格に行い、24時間365日体制で管理・運用し、さらには国や業界が求める最新の要求や規制、標準などにも対応していく必要があります。
しかしながら現在、企業でOTセキュリティを担当する人は、OTには詳しくてもネットワークやセキュリティの専門家ではない生産技術担当や、逆にネットワークやセキュリティには詳しいがOTが分からない情報システム部門などが担当していたりします。
OTセキュリティを実行するにはOTとIT、セキュリティの知識とスキルが必要ですが、そうした人材は滅多にいないのが実情です。
それに対して当社は、もともとOTの制御機器メーカーであり、これまでアメリカを中心に、グローバルで国家施設や重要インフラ、大手製造業などでOTセキュリティを実行してきた経験を持っています。それを活かし、日本の製造業のお客様に向けてOTセキュリティの構築をイチからサポートするサービスを展開しています。
世界トップクラスのパートナーとOTセキュリティで連携
ーーロックウェルがOTセキュリティのサービスを提供しているとは知りませんでした
グローバルでは5年前から、日本では3年前から提供開始しています。世界的にOTセキュリティ対策が本格的に必要な流れになってきて、以前は国家機関や重要インフラ等に提供していたものを製造業向けにもスタートしました。
当社のOTセキュリティのサービスでは、ネットワーク、仮想サーバー、セキュリティの3つの軸に対して、それぞれ評価・設計、導入、運用保守のサービスラインナップを用意しています。
マイクロソフトやシスコシステムズをはじめ、パンドウイット、エンドポイントセキュリティのクラウドストライクなど、世界でも名だたるネットワーク・セキュリティ企業とパートナーシップを結んでおり、彼らの最新のセキュリティソリューションを組み合わせて、お客様へ強固なOTセキュリティを提供します。
アメリカは世界で最もサイバー攻撃を受ける国であり、それを支えているネットワーク・セキュリティ企業も常日頃からあらゆる攻撃を受けています。彼らはサイバー攻撃とセキュリティ対策については世界で最も情報とデータを持ち、防ぐ手段を知っており、そうした知見と技術を日本の製造業にも提供していきます。
企画からネットワーク構築、運用・保守まで一貫して提供
ーーOTセキュリティ専門のシステムインテグレーターのような感じですか?
仰る通りです。
OTセキュリティの専門家としてNISTやIEC62443など国際標準に則り、シスコ社と共同開発したレファレンスアーキテクチャ「CPwE」に基づいたネットワーク設計サービスを提供しています。OTネットワークとOTセキュリティ両面を対策でき、OT資産を可視化してリスクアセスメントを行うところからはじめ、ネットワークやシステムをPOCで評価・検証し、本番環境を構築し、バックアップの設定を提供しています。
運用と保守についても、リモート監視、インシデントへの対応と処理、復旧計画までサポートし、OTセキュリティに関するすべてのライフサイクルをカバーしています。
グローバルでOTセキュリティだけで1000人のエンジニアがいて、アジアにはオペレーションセンターが15カ所あり、日本を含めて多くのコンサルタント 、フィールドサービスエンジニアが 在籍しています。
半導体メーカーや製薬、飲食料品メーカーなど実績多数
ーー実績について教えてください
北米では電力会社をはじめ、製薬メーカー、飲食料品メーカー、電気機器の販売代理店など業種を問わず採用をいただいています。
アジアでは台湾の大手半導体メーカーをはじめ、日本でも飲食料品メーカー、お菓子メーカーのグローバルプロジェクトとして全拠点に導入いただきました。自動車業界でも実績があり、いずれも各業界のリーディングカンパニーばかりです。
いままで制御機器メーカーとしてのOT全域のドメイン知識と技術を持ち、OTセキュリティのライフサイクル全般をカバーするソリューションラインナップがあり、さらに質の高いセキュリティがグローバルで等しく導入できることを評価いただいています。
OT専門企業ならではのOTセキュリティを提供
ーーこれからについて
工場やプラントのIoT導入やDXが進むと、それにともなって攻撃の起点も増えていきます。最近のサイバー攻撃に対する被害の増加はそれが強く影響しています。国や業界から要請が出始めているように、あらゆる製造業でOTセキュリティを整備する必要があります。
ロックウェル・オートメーションは、世界で最もサイバー攻撃を受け、防いでいるアメリカで、長年にわたって制御プロセスに関わるサービスを提供し、お客様の自動化に貢献してきました。PLC等のハードウェアに加え、MES(製造実行システム)等のソフトウェア、プラットフォームを提供するなかで、工場やプラントを安定的に動かす仕組みとしてOTセキュリティは重要だと考え、強固なOTセキュリティを構築し運用するサービスの提供をはじめました。当社はリスクアセスメントや提案から構築、運用・保守まで一貫して提供しており、いちから相談いただけます。止まらない工場を実現するためにも、ぜひOTとOTセキュリティの専門家である当社にご相談ください。