なぜ「OT/CPSに特化した」セキュリティ戦略と対策が必要か? OT担当CTOが解説
“物理空間へのサイバー攻撃”が増加! OPSWATが提言するセキュリティ対策のポイント
2024年12月27日 08時00分更新
OT環境へのゼロトラストアクセス、CPSの“最終防衛ライン”製品も
次の課題が「不十分なアクセス制御」である。OT環境のリモート管理を実現するために、これまではVPNがよく使われてきた。しかし、VPNにさえ接続すればOT環境内で自由に攻撃ができてしまうため、VPN装置の脆弱性や盗んだクレデンシャル(認証情報)を悪用したサイバー攻撃が多発するようになった。VPN経由による被害事例も数多くある。
ナップ氏も「VPNではもう保護できない」と強調して、ゼロトラストネットワークアクセス(ZTNA)の導入を推奨する。
OPSWATのZTNAソリューション「MetaDefender OT Access」では、ユーザーとデバイス(操作端末)に対する認証を行うだけでなく、ポリシーベースで「どの産業用プロトコルの使用を許可するか(FINS、Modbus、OPC UAなど)」「どのようなリモート操作を許可するか」も定義できる。これにより、リモートアクセスによるリスクを大幅に低減できる。
「さらに、クレデンシャルさえあればいつでもリモートアクセスができるわけではなく、リクエストに対して管理者が明示的に許可した段階でアクセスできます。その際、許可されるのは特定のタスクだけで、そのタスクが終われば接続は遮断される仕組みです」
OT向けリモートアクセス製品「MetaDefender OT Access」。オンプレミス導入のほか、クラウドへの設置も可能だ
そして最後は「境界防御やセグメンテーションが不十分」という課題だ。IT/OTネットワークの境界、あるいはリモートアクセスの境界を設けても、まだそれだけでは不十分かもしれない。それらが突破されてしまったり、攻撃者が施設に侵入してOTネットワークに接続したりすれば、自在にOT環境やCPSを攻撃できてしまうおそれが残る。
この課題に対してOPSWATでは、ITとOTの間だけでなく、OTとCPSの間にも新たな“最終防衛ライン”を設け、OT/CPS専用のファイアウォール「MetaDefender Industrial Firewall」を配置して、強力な防御を行うことを提案している。
このIndustrial Firewallは、幅広い産業制御用プロトコルをサポートしており、正常時のPLC操作(コマンド)をAIに学習させることで、サイバー攻撃による異常な操作をブロックする。たとえ攻撃者がOTネットワークに侵入できたとしても、CPSへの攻撃(不正操作)はできないわけだ。「これはサイバー攻撃だけでなく、システムの設定ミスなどによるPLCの誤操作も防いでくれます」とナップ氏は説明する。
OT/CPS向けファイアウォール「MetaDefender Industrial Firewall」。機械学習によりポリシーを自動作成するため、設定は容易だ
OTセキュリティ人材育成の無料トレーニングを提供、25万人が認定資格を取得
OTセキュリティに関しては、専門的な知識とスキルを持った人材の不足も深刻だ。
OPSWATが10月に発表した「SANS 2024(ICS/OTサイバーセキュリティの現状)」レポートにおいては、産業制御システム(ICS)従事者の半数以上が「経験年数5年未満」であるうえ、ICS/OTセキュリティ担当者の半数以上が「正式なセキュリティ認定資格を持たない」のが現状であり、66%が「ICS環境の最大のリスクは『人材』」だと回答している。
ナップ氏も「わたしがOTセキュリティに着手した20年前よりはかなり改善されている」と前置きしながらも、OTに対する知識とサイバーセキュリティに対する知識の両方を持つ人材の育成は難しいと語る。「そうした人材を採用するのはさらに難しい」。
そうした状況を改善するべく、OPSWATが2018年から展開しているのが、無料でオンライン受講ができる「OPSWATアカデミー」である。これまでに42万人以上が登録し、受講されたコース数はのべ54万件以上、そして25万人以上が認定資格を授与されたという。
もうひとつ、上述のSANSレポートで指摘されているのが「ITとOTのセキュリティ責任者が分散している」課題だ。ITとOTの両方をCISOがリードする企業では、82%がOTでも業界標準のセキュリティアプローチがとられていた。一方で、個別に責任者がいる場合は、それが42%にとどまったという。
「IT側のCISOは、セキュリティリスクを重視して対策を進めようとします。一方で、OT側のリーダーは、生産プロセスの安定性などを重視します。その結果、両者が対立してしまうようなことが起きてしまう。本来は、両者が協力してセキュリティ対策を進めるべきなのですが」
ナップ氏は、OTセキュリティもCISOの責任分野に統合すればうまくいくが、それは組織的に困難な場合がほとんどだと語る。少なくとも、ITチームとOTチームの間でセキュリティに関する協力関係を持つ必要があるとまとめた。
* * *
OTのセキュリティ対策について、日本国内の状況はどうか。OPSWAT Japanカントリーマネージャーの髙松篤史氏は「そのデマンドは非常に盛り上がってきています」と語った。
「率直に言えば、欧米に比べて日本のOTセキュリティの導入は遅れています。ただし、裏を返せば、日本はこれから非常に伸びる市場になってくるとも言えます。今年夏に開設した「CIPラボ」にも、これまで4カ月間でのべ300名以上の方にお越しいただいており、デマンドの高さを実感しています」(髙松氏)
最後にナップ氏は、OTセキュリティ対策の普及させていくために、MetaDefenderプラットフォームをさらに強化するのと同時に、「より導入しやすくしていきたい」と語った。
「OTセキュリティ製品は、既存のOT環境に影響を与えることなく導入できること、そして使いやすいことも大切です。OPSWATはそうした製品の提供を通じて、OTセキュリティの普及と進化を加速させていきます」
ナップ氏は、製品の導入しやすさ、使いやすさに加えて「『見た目のかっこよさ』も大切だ!」と言って笑った
