なぜ「OT/CPSに特化した」セキュリティ戦略と対策が必要か? OT担当CTOが解説
“物理空間へのサイバー攻撃”が増加! OPSWATが提言するセキュリティ対策のポイント
2024年12月27日 08時00分更新
「残念ながら『サイバーフィジカルシステム(以下、CPS)』を狙ったサイバー攻撃は増えています。しかし、OTやCPSに対するセキュリティ対策は、ITのセキュリティ対策よりも大きく遅れているのが現状です」
重要インフラ保護の領域で、IT/OT統合型のサイバーセキュリティプラットフォーム「MetaDefender」を展開するOPSWAT。同社でOT担当CTOを務めるエリック・ナップ氏は、上述のとおりコメントしたうえで、OTセキュリティに特化した戦略と対策を持つことの重要性を強く訴える。
今回は、20年以上にわたってOTセキュリティに携わってきたナップ氏に、重要インフラを狙うサイバー脅威の現状、OT/CPSセキュリティに特有の課題、そしてOPSWATが提供する最新ソリューションの特徴などを解説してもらった。
米OPSWAT OT担当CTOのエリック・ナップ(Eric Knapp)氏。ナップ氏の著書「Industrial Network Security」は、産業制御システム(ICS)セキュリティの包括的な専門書として、OTセキュリティの実務者、研究者に長年読まれ続けている
CPSを狙う攻撃者、その目的は「サイバー空間から物理空間への攻撃」
冒頭のコメントにもあるとおり、サイバーフィジカルシステム(CPS)をターゲットとしたサイバー攻撃は増加している。具体的には、産業制御システム(ICS)やPLCを破壊したり、誤作動させたりするような攻撃だ。
CPSは、OT環境を構成する要素のひとつに過ぎないが、攻撃者がそれをターゲットにする理由は「物理空間にまで影響を及ぼすことができる」からだ。たとえば「送電網への攻撃による大規模停電」「石油パイプラインへの攻撃による爆発」「交通管理システムへの攻撃による運行停止」「工場への攻撃による長期の操業停止」など、サイバー空間から物理空間への攻撃を実行して、市民生活や社会経済活動に重大な影響を与えることができる。
そしてナップ氏は、次のように指摘する。
「CPSを狙う攻撃者の能力は高度化しており、単純にシステムを破壊するのではなく、本来意図していない異常な動作をさせる“サイバーフィジカルアタック”も現実化しました。その背景には、国家間の紛争や緊張の高まりも大きく影響しています」
そのため、CPSを保護するためのOTセキュリティ対策は、各国で喫緊の課題となっている。しかし、OT/CPSには一般的なITシステムとは異なる特徴が多くあり、それがOTセキュリティ対策を進めるうえでの障壁となっている。
ナップ氏は、OTセキュリティ特有の課題を「複雑なネットワーク」「技術的なギャップ」「トレーニングのギャップ」の3点にまとめて説明する。
「まず、OTシステムのネットワークは複雑にからみ合っており、なおかつリアルタイムシステムとして動作するよう細かなチューニングも行われています。また、テクノロジーのギャップもあり、システムのモニタリング、境界防御、セグメンテーション、アクセス制御のすべてが不十分です。それに加え、OTセキュリティの専門的なトレーニングを受けた人材がまだまだ不足している状況です」
OT/CPSセキュリティ特有の課題
このように、OTセキュリティはITセキュリティとは異なる特性を持つため、ITセキュリティ向けのアーキテクチャやソリューションをそのまま適用してもうまくいかない。ナップ氏は、OTとITとの違いをよく認識して取り組むべきだと強調する。
「たとえば、OT/CPS環境を保護するためにネットワークを隔離すると、モニタリングが困難になってセキュリティ状況が分からなくなります。その一方で、現状ではアクセス制御や境界防御、セグメンテーションといった対策が十分ではなく、ひとたびOTネットワークに侵入されてしまうと、CPSへの攻撃(不正操作)が簡単に実行できてしまいます」
“OT/CPS特有の課題”にも対応するOPSWAT MetaDefenderプラットフォーム
OPSWATの「MetaDefender」プラットフォームは、重要インフラ保護を目的として、ITとOTの両領域をカバーするセキュリティプラットフォームだ。しかも、OT領域にIT向けソリューションをそのまま持ち込むのではなく、“OT/CPS特有の課題”に対応したソリューション群をラインアップしている。これらを活用すれば、OT/CPSに特化した多層防御が可能になる。
OT/CPSの多層防御を実現する「OPSWAT MetaDefender」ソリューション全体像
ナップ氏は、OT環境をさらに「OTネットワーク」と「CPS」に分けたうえで、それぞれを保護/対策するうえでの課題とともに、特徴的なソリューションを紹介した。
まずは「OT/CPS環境のモニタリング」という課題だ。それぞれの環境内でどのような変化が起きているのかをリアルタイムに監視するためには、CPSからOTへ、OTからITへモニタリングデータを送信する通信経路が不可欠である。ただし、通信経路を設ければ、そこが攻撃者の侵入口になってしまうリスクも生じる。
こうしたリスクをなくすために、OPSWATでは「MetaDefender NetWall」をラインアップしている。NetWallはデータダイオードと呼ばれるカテゴリの製品であり、これを組み込んだネットワークは、物理的に「一方向の通信」しかできなくなる。つまり、CPSからOTへ、OTからITへとモニタリングデータを送信することはできるが、逆方向の(外側からの)アクセスはできないので、この通信経路を使った外部からの攻撃は不可能だ。
なお、OPSWATは2024年12月、データダイオードのラインアップ強化を目的として、フェンド(FEND)社の買収を発表している。これにより、より広範囲にデータダイオードの導入を進める方針だ。
データダイオード製品の「MetaDefender NetWall」。スループット(5Mbps~10Gbps)に応じた複数のモデルをラインアップしている
