前へ 1 2 次へ

第5回 セキュリティを支えるテクノロジー フォーティネットのエキスパートが語る

フォーティネットが目指すOTならではのアプローチとは?

守るべきは現場の安全、工場やプラントを守るOTセキュリティ

文●大谷イビサ 編集●ASCII 写真●曽根田元

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

 製造業やプラント、発電所などには、既存のITと異なるOT(Operational Technology)と呼ばれる制御システムが存在する。こうしたOTに対するサイバー攻撃が激化する現在、フォーティネットジャパンはOTに特化したユーザー企業の支援を提供している。OTビジネス開発部 担当部長である藤原健太氏に、OTとITの違いや対策のアプローチ、日本の製造業がいま手がけるべきOTセキュリティについて聞いてみた。

生産現場の安全を守るOTセキュリティを啓発啓発

 藤原氏は、フォーティネットジャパンに2022年に入社し、「OTビジネス開発部」でOTセキュリティの啓発活動やユーザー企業の支援を行なっている。また、国内300社が加入するJNSAのOTセキュリティのワーキンググループでサブリーダーや名古屋工業大学 産官学金連携機構 ものづくりDX研究所にて外部研究員を務め、上司にあたる佐々木弘志氏とともに、グループ内での議論を深めている。直近では特定領域でのリスクへの対応スキルを証明するFunctional Safety Engineerの国際資格を取得している。

フォーティネットジャパン OTビジネス開発部 担当部長 藤原健太氏

 「ITの人間ではなく、完全にOTの人間」と語る藤原氏。それまでは、長らくPLC(Programmable Logic Controller)やDCS(Distributed Control System)を始めとする制御システムなどOTシステムに関するエンジニアリングを始め、デジタル技術活用支援に携わってきた。これまでに訪問した現場は80拠点以上に上る。このようにITとは異なるキャリアを歩んできた藤原氏に、ITとOTの違いについてまずは説明してもらった。

 ITとOTはセキュリティ対策において、そもそもゴールが異なるという。ITにおけるセキュリティ対策は情報やデータを守るのが目的で、そのためにConfidentiality(機密性)、Identity (完全性)、Availability(可用性)の3つが重視される。一方で、OTにおけるセキュリティ対策は、生産活動やビジネスを守るのが目的。ビジネス目標を達成するための手段として、Safety(安全性)を確保するというのが基本的なゴールだ。

ITとOTとではゴールが違う

 製造業では安全・安心は現場に根付いている。「生産現場はつねに危険と隣り合わせなので、安心、安全な環境を担保する必要があります」(藤原氏)とのことで、5S(整理・整頓・清掃・清潔・躾)活動や三現主義(現場・現実・現物)などのルールや規律がある。また、KY(危険予知)も文化として根付いており、生産現場の人間はつねにリスクを念頭に入れ、予防措置やルールを改善していくのが一般的だ。

 また、生産現場と言っても、作っているものはさまざま。自動車や半導体を作る「組み立て産業(FA:Factory Automation)」のみならず、化学プラントや製鉄所など原料を生成する素材産業(PA:Process Automation)も生産現場だ。「ITの場合は、情報漏えいやデータの改ざん、サービス停止など、起ってほしくないリスクは基本的に均一です。しかし、OTの場合はリスクがお客さまごとに異なり、予想できないことも多い」と藤原氏は語る。

最悪の場合、火災や人の命、会社の倒産までいくOTのリスク

 ITとOTではまったく異なるのが、リスクの考え方だ。OTにおいて安全性を脅かす事象とはなにか? よく挙げられるのは、2022年にイランの製鉄所を襲ったサイバー攻撃の事例だ。ハッカー集団によるこの攻撃では、溶鉱炉の釜を物理的にずらし、溶鋼を流出させたことで火災を発生させた。カメラまでハッキングされ、動画まで残っているわけだ。「この動画を見ると、セキュリティ攻撃ってここまで行くんだっけ?と思うかもしれませんが、生産現場へのサイバー攻撃は、最悪の場合、ここまでいきます」と藤原氏は語る。

 核施設の破壊を目的とした2010年のStuxnetのインシデントが報じられて以降、生産現場や重要インフラを標的としたサイバー攻撃は、無視できないレベルで拡がっている。ランサムウェアの被害により、取引先工場が生産停止に追い込まれたり、VPNの脆弱性を突いた攻撃によって制御システムが停止してしまう事件もあった。「出入りの業者にランサムウェアを持ち込まれ、工場の操業が3日間停止し、被害額が200億円という事故もありました」(藤原氏)。

 この背景には、生産現場におけるデジタル化の導入がある。「われわれの生活もデジタルへの依存が進んでいますが、工場もデジタル技術の活用で、自動化や効率化を進め、収益を上げています。だから、デジタル空間もフィジカル現場と同じように保全できなければならないんです」と藤原氏は語る。

 さらにOTの場合は生産活動に関わる機械はもちろん、オペレーションを実施する人も対象となる。実際、既存の情報システム部は情報系ネットワークを管轄しているが、OTネットワークは生産現場にお任せというパターンもある。「きちんと担当者をつけ、ルールや組織を構築しないと、運用が回りません。せっかく製品を導入しても、放置されてしまいます」と藤原氏は語る。

 デジタル化は進展したが、日本の生産現場でのOTセキュリティ対策は、まだまだ進んでいない。組織、運用、技術、サプライチェーンなどの現状を把握する経産省ガイドラインを見ると、日本企業は8割がOTセキュリティを未実施・一部実施という状態だ。生産現場のネットワークは情報システム部門の管轄外で、OTセキュリティを現場で運用する組織体制からまず見直さないといけないケースも多いという。

経産省のガイドラインをベースにしたチエックリストでは未実施・一部実施が8割

前へ 1 2 次へ
Fortinet トップへ