企業にとってサイバーリスク管理の最もクリティカルなOT(Operational Technology)領域をどう守るか

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「クリティカルインフラストラクチャの防御: OTセキュリティが脅威インフォームドアプローチを必要とする理由」を再編集したものです。

OT(Operational Technology)は、企業のセキュリティリーダーにとってサイバーリスク管理の最もクリティカルな領域の1つとなっています。製造ライン、電力システム、輸送ネットワーク、医療インフラストラクチャ、エネルギー事業、その他の産業環境は、ますます接続されたシステムに依存しています。この接続性は運用上の利点をもたらしますが、今日の脅威動向に対応するように元々設計されていなかったOT環境を露出させることにもなります。

CISOにとって、これは困難な課題となります。OT環境はもはや企業リスクから隔離されていませんが、従来のIT管理を産業ネットワークに単純に拡張するだけでは保護できません。優先事項、システム、そして中断の影響はすべて異なります。

ITでは、主な目標はデータ、ユーザー、アプリケーション、ビジネスシステムの保護に焦点を当てています。OTでは、セキュリティは安全性、稼働時間、物理プロセス、特殊機器、レガシープロトコル、運用継続性にも対処する必要があります。企業環境で意味をなすセキュリティ管理は、生産ラインを中断させたり、安全プロセスを遅延させたり、クリティカルインフラストラクチャの可用性に影響を与えたりする場合、許容できないリスクをもたらす可能性があります。

そのため、OTセキュリティには脅威インフォームドアプローチが必要です。CISOは、どのような資産が存在するかだけでなく、どのシステムが最も露出しているか、どの脅威が最も関連性が高いか、攻撃者が環境内をどのように移動するか、そしてどの管理策が運用を中断させることなくリスクを軽減できるかを理解する必要があります。

従来のITセキュリティモデルがOTで不十分な理由

ほとんどのOT環境は、企業のITシステム、クラウドサービス、リモートアクセスプラットフォーム、サードパーティサポートネットワークに接続される前から、信頼性と可用性のために設計されていました。その結果、パッチ適用が困難な古いシステム、検査が難しい独自プロトコル、変更をいつどのように行えるかを制限する運用要件が含まれることがよくあります。

これは、OTチームがセキュリティを無視していたという意味ではありません。異なる制約の下で運用していたという意味です。産業システムは何年も継続的に稼働するように設計されることが多いため、定期メンテナンスウィンドウは稀な場合があります。一部のデバイスはエンドポイントエージェントをサポートできず、制御する機器が数十年持続するように設計されているため、レガシーオペレーティングシステムを実行する場合があります。これらはすべて、フロンティアAI対応セキュリティの時代において問題となる点です。 

OTを単に企業ネットワークの別の拠点であるかのように扱うCISOは、盲点を作り出すリスクがあります。標準的な管理策の有効性を過大評価したり、産業プロセスの脆弱性を過小評価したり、敵対者がOT環境を標的とする特定の方法を見落としたりする可能性があります。

より効果的なモデルは、環境の現実から始まります。OTセキュリティは、可視性を向上させ、露出を減らし、セキュリティチームが運用に影響を与える前に脅威を検出して対応するのに十分なコンテキストを提供しながら、可用性と安全性を保護する必要があります。

一般的な例は、運用検証なしに従来のITセキュリティ管理をOT環境にデプロイメントすることです。たとえば、積極的な脆弱性スキャンは、プログラマブルロジックコントローラ(PLC)やリモートターミナルユニット(RTU)など、メモリと処理能力が限られたネットワークデバイスを中断させる可能性があります。エンドポイント保護エージェントは、HMI上のクリティカルなシステムリソースを消費する可能性があり、定期的なパッチ適用は連続プロセス運用において計画外のダウンタイムをもたらす可能性があります。このようなシナリオでは、これらのシステムはミッションクリティカルであることが多く、安全で信頼性の高い運用をサポートするために継続的に利用可能であることが期待されています。

同様に、過度に制限的なネットワークセグメンテーションポリシーは、OT環境内のリアルタイム制御、安全機能、運用継続性に必要な産業プロトコルや遅延に敏感な通信を誤ってブロックする可能性があります。さらに、クリティカルインフラストラクチャ部門のOT環境では、セキュリティアップデートのためのインターネットやクラウド接続をサポートしていない場合があります。IT環境では接続が一般的ですが、OT環境ではエアギャップのみのソリューションが必要となる場合があり、自動化されたクラウドベースのセキュリティアップデート配送オペレーションに影響を与えます。

資産の可視性が出発点

CISOは、見ることができないシステムを防御することはできません。多くのOT環境では、最初の課題は、産業用制御装置、エンジニアリングワークステーション、HMI、センサー、フィールドデバイス、リモートアクセスポイント、およびOTとITネットワーク間の接続を含む、完全な資産の全体像をマッピングすることです。これらの場所の多くが遠隔地で過酷な環境にある場合、これはかなりの作業となります。

しかし、このような可視性は、静的なインベントリを超えて拡張する必要があります。CISOとセキュリティチームは、資産の関係、通信パターン、露出パス、ファームウェアとソフトウェアのバージョン、既知の脆弱性とパッチ管理戦略、およびビジネス上の重要性を理解する必要があります。たとえば、目立たないデバイスがクリティカルなプロセスをサポートしている場合があります。忘れられたリモートアクセス接続が、機密性の高い環境への経路を作り出す可能性があります。または、脆弱なエンジニアリングワークステーションが、到達および制御できるシステムのために、大量のサーバーよりも大きなリスクをもたらす可能性があります。

脅威に基づく防御は、このコンテキストに依存しています。目標は、すべての資産を平等に扱うことではありません。目標は、標的となる可能性が最も高いシステム、攻撃者が使用する可能性のある経路、および補償的制御を通じてそれらの経路を悪用しにくくする制御を特定することです。

これは、OT環境がより接続されるようになるにつれて特に重要です。リモートオペレーション、予知保全、クラウド分析、およびサードパーティのサービスアクセスは効率を向上させることができますが、攻撃対象領域も拡大します。正確な可視性がなければ、CISOとそのチームは、仮定に基づいてOTリスクを管理することになります。

セグメンテーションが影響範囲を制限

OT環境を理解したら、セグメンテーションはすべての環境のリスクを軽減する最も効果的な方法の1つです。フラットなネットワークは攻撃者に移動の余地を与え、OTネットワークではさらに顕著です。ITとOTネットワーク間の制御が不十分な接続により、ある領域での侵害が物理的なオペレーションをサポートするシステムに拡散する可能性があります。

効果的なセグメンテーションは、単なる技術的な演習ではありません。セキュリティ、ネットワーキング、エンジニアリング、およびオペレーションチーム間のコラボレーションが必要です。どのシステムが通信する必要があるか、どの接続が不要か、どこでアクセスを制限すべきかを理解する必要があります。同様に、制御は、重要なワークフローを中断する方法で課されるのではなく、運用上の現実に基づいて設計される必要があります。

脅威に基づくセグメンテーション戦略は、ラテラルムーブメントを制限し、不要な露出を減らし、インシデントが運用上の混乱にエスカレートする前に封じ込めるのに役立ちます。また、防御者に異常なアクティビティに対するより明確な可視性を提供します。トラフィックパターンがよく理解され、アクセスパスが制御されている場合、疑わしい動作を検出しやすくなります。

フォーティネットのOTセグメンテーション手法は、ISA/IEC 62443の原則に沿っており、運用上の重要性と通信要件に基づいて、産業プロセス、安全システム、監視ネットワーク、およびエンタープライズ環境を分離するセキュリティゾーンとコンジットを確立します。制限的なITスタイルのセグメンテーションポリシーを直ちに適用するのではなく、このアプローチは、可視性優先の監視、産業用プロトコルの認識、および実施前の運用トラフィックフローの検証を伴う段階的なデプロイメントを重視しています。

実践的な実装には、通常、レベル1~3の産業オートメーションおよび制御システム(IACS)環境間の主要なコンジットにFortiGate次世代ファイアウォール(NGFW)をデプロイし、Modbus TCP、DNP3、IEC-104、OPC、CIPなどのプロトコルにOT固有のポリシーを適用し、コントローラー、HMI、ヒストリアン、およびエンジニアリングワークステーション間で最小権限の通信を実施することが含まれます。フォーティネットはまた、セグメンテーション変更前に、運用の中断を最小限に抑えるため、パッシブアセットディスカバリ、トポロジマッピング、およびトラフィックベースライン化を推奨しています。追加の保護には、MFAを使用したセキュアリモートアクセス、ミッションクリティカルなシステムに対する透過的なファイアウォール機能とネットワークバイパス機能を備えたクリティカルな生産エリア内の内部セグメンテーションファイアウォール、および即座のパッチ適用が運用上実行不可能な場合に脆弱な従来型アセットを保護するための仮想パッチが含まれます。

さらに、FortiLinkにより、FortiGate NGFWがFortiSwitchをリモート管理できます。FortiLinkは、FortiSwitchのFortiGate NGFW UIへのネイティブ統合を可能にし、FortiSwitch上のネットワークポートの管理と監視をサポートします。この統合により、FortiSwitchに接続されたネットワークノードとアセットへの完全な可視性が提供され、OTエンジニアがネットワーク障害や問題を特定し、効率的にトラブルシューティングできるようになります。

脅威インテリジェンスは産業リスクに関連したものでなければならない

脅威インテリジェンスは、セキュリティチームがより良い意思決定の優先順位付けを行うのに役立つ場合に最も価値があります。OTセキュリティにおいて、それは産業環境とクリティカルインフラストラクチャに最も関連する敵対者、戦術、技術、および手順を理解することを意味します。

CISOは、脅威活動を運用リスクに結び付けるインテリジェンスを必要としています。どのグループが類似のセクターを標的にしているのか? 産業システムでどの脆弱性が悪用されているのか? どのリモートアクセス方法が一般的に悪用されているのか? OT関連のインシデントでどのマルウェアファミリーまたは侵入パターンが出現しているのか? どの制御が最も可能性の高い攻撃経路を妨害するのか?

一般的な脅威インテリジェンスには、この環境において限界があります。OTチームは、実際に使用しているシステム、プロトコル、および運用プロセスを反映したインテリジェンスを必要としています。また、更新された検知ロジック、より厳格なアクセス制御、改善されたセグメンテーション、およびより焦点を絞ったインシデントレスポンス計画など、そのインテリジェンスを行動に変換する能力も必要です。

ここで脅威情報に基づく防御が重要になります。これにより、組織はOTリスクに関する広範な懸念から、何を優先すべきかについての具体的な決定へと移行できます。

ITチームとOTチームは共にリスクを管理しなければならない

OTセキュリティの最も困難な側面の1つは、技術的なものではなく、組織的なものです。ITチームとOTチームは、しばしば異なる優先事項、用語、および許容可能なリスクの定義を持っています。ITチームは機密性、パッチ適用、アクセス制御、および準拠規格に焦点を当てる一方、OTチームは安全性、稼働時間、プロセスの完全性、および運用の継続性に焦点を当てる場合があります。両方の視点は妥当ですが、どちらも単独では十分ではありません。

CISOは、セキュリティの成果を向上させながら運用上の制約を尊重する統一されたリスク管理モデルを作成する必要があります。それには、共同ガバナンス、共有された可視性、インシデントレスポンス計画、および明確な所有権が必要です。また、セキュリティを外部から押し付けられるものとして扱うのではなく、OTリーダーを早期に関与させることも必要です。

ITチームとOTチームが協力すると、セキュリティの決定がより現実的になります。パッチ管理をメンテナンスウィンドウに合わせることができます。セグメンテーションを運用上の依存関係に基づいて設計できます。インシデントレスポンス計画で安全性と生産要件を考慮できます。経営陣への報告で、サイバーエクスポージャーと運用への影響の両方を反映できます。

効果的なIT/OTコラボレーションは、サイバーセキュリティと運用レジリエンスの両方を維持するために不可欠です。組織は、共有されたアセットインベントリ、調整された変更管理プロセス、および部門横断的なインシデントレスポンス計画を通じて、IT、OTエンジニアリング、運用、およびサイバーセキュリティチーム間の共同ガバナンスを確立する必要があります。ランサムウェアが生産システムに影響を与える、または産業環境における可視性や制御の喪失などのサイバーインシデントをシミュレートする定期的な机上演習は、コミュニケーション経路、エスカレーション手順、および運用復旧戦略の検証に役立ちます。IT/OTセグメンテーションポリシー、リモートアクセス要件、およびメンテナンス活動の協調的なレビューも、OTおよびクリティカルインフラストラクチャ環境における安全性、可用性、またはリアルタイムの産業運用に悪影響を与えることなく、セキュリティ制御が実装されることを保証するのに役立ちます。 

EメールやWebサービスなどのIT向けサービスは、フィッシングや侵害されたビジネスEメールを介して、相互接続されたOTインフラストラクチャへのサイバー攻撃の一般的なベクターです。モノのインターネット(IoT)および産業用モノのインターネット(IIoT)技術の採用が増加するにつれて、攻撃対象領域が拡大し、従来のITセキュリティ制御をバイパスすることさえあります。したがって、包括的なIT/OT(またはIT/OT/インターネット/クラウド)セキュリティおよびリスク管理プログラムは、より広範な脅威動向に対処できます。 

組織は、OTサイバーセキュリティには経営レベルの監督が必要であり、ITとOT環境が統合されるにつれて、責任がVPレベルの役割からCISOに移行していることをますます認識しています。過去数年間の傾向は、クリティカルインフラストラクチャ環境全体にわたる集中的な可視性、ガバナンス、およびリスク管理に対する業界全体の焦点の広がりを反映しています。フォーティネットの今後の2026 State of Operational Technology and Cybersecurity Report は、組織がOTセキュリティのリーダーシップとレジリエンスへのアプローチをどのように進化させ続けているかについて、新たな洞察を提供します。

CISOのための実践的な前進の道

脅威に基づくOTセキュリティ戦略は、いくつかの実践的な質問から始めるべきです:

・どのような資産があり、どれが最もクリティカルな運用をサポートしているか?
・ITとOTネットワークはどこで接続されているか?
・どのリモートアクセス経路が存在し、誰がそれらを使用できるか?
・どのシステムを迅速にパッチ適用できず、それらを保護するためにどのような補完的制御を実装できるか?
・どの攻撃者と攻撃手法が当社の業界に最も関連しているか?
・侵害を想定した場合、OT環境で異常な活動をどのように検出するか?
・インシデントがITからOTに移行した場合、誰が意思決定を行い、お客様の安全を維持するために保護すべき優先システムは何か、そしてどれだけ迅速に行動できるか?

これらの質問は、CISOが抽象的なOTの懸念から測定可能なリスク削減に移行するのを助け、セキュリティチームが最も重要な制御に優先順位を付けるのに役立ちます。目的は、OT環境をIT環境のように見せることではありません。目的は、デジタルシステムと物理的な運用の両方を保護する方法でそれらを保護することです。

CISOの役割は拡大している

IT、OT、クラウド、およびサードパーティのエコシステムが統合し続けるにつれて、CISOはより広範で複雑な環境全体でリスクを管理するよう求められています。OTセキュリティは、その責任の一部であることがよくあります。これには、異なる考え方、運用チームとのより深い協力、およびハイブリッド環境全体で可視性、セグメンテーション、および脅威に基づく対応をサポートするセキュリティアーキテクチャが必要です。

特にクリティカルインフラストラクチャは、運用を継続しなければならないシステムに依存しています。これにより、OTセキュリティはサイバーセキュリティとビジネスレジリエンスの両方の優先事項となります。脅威に基づくアプローチを採用するCISOは、産業運用を保護し、露出を減らし、重要なシステムを安全かつ利用可能に保つ責任を負うチームをサポートするために、より良い立場に立つことができます。
 
詳細については、フォーティネットのOTセキュリティへのアプローチをご覧いただき、今後開催される仮想2026 OTセキュリティサミットにご参加いただき、統合する脅威動向におけるクリティカルインフラストラクチャの保護に関するフォーティネットの専門家の話をお聞きください。

次回のCISO Collective Forumは、2026年8月19日水曜日、午前8時(PST)| 午前11時(EST)| 午後4時(GMT)に開催されます。こちらから登録してください。

■関連サイト

Fortinet トップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります