OTネットワークを止めないために、
機器管理とサイバー攻撃対策が必要な理由



従来の工場内の制御系ネットワーク「OTネットワーク」はインターネットに接続しない閉域の環境だったため、セキュリティのリスクが低いとされてきましたが、ITネットワークとの接続やIoTの進展により安全が脅かされつつあります。OTネットワークを安全に運用するために、どのような対策が必要なのかをご紹介します。




OTネットワークとは?


OT(Operational Technology)ネットワークは、工場のハードウェアを制御・運用するネットワークとして製造業企業の構内に構築されています。システム構成は非公開で、メーカーがユーザー企業の要件に合わせて独自のカスタマイズを行うのが一般的です。

工場のオートメーションには、大きく分けて機械産業・組み立て産業向けの「FA(Factory Automation)」、素材産業向けの「PA(Process Automation)」があり、機械を制御するコントローラーとしてFAでは「PLC(Programmable Logic Controller)」が、PAでは「DCS(Distributed Control System)」が主に使われています。

従来はPLCやDCSといったコントローラーと機器の接続には独自のOS・通信プロトコルが使われてきましたが、最近ではWindows・Linuxなどの汎用OS、TCP/IPなどの標準プロトコルが使われています。




IoT機器の増加などで閉域網でなくなりつつあるOTネットワーク




スマートファクトリー化はここ数年で急激に進んでいます。㈱富士経済の「NEXT FACTORY関連市場の実態と将来展望 2020」によると、スマートファクトリー関連システム・製品の世界市場は、2020年見込みが2兆4,142億円だったのに対して、2025年には5兆5,446億円になると予測されています。

特に近年では新型コロナ禍や災害、海外での政情不安など予測不可能な事態が頻繁に発生しています。その影響を受けて需要が急激に増減することもあり、必要なものを必要な時に必要な量だけ提供する「マスカスタマイゼーション」が求められるようになりました。マスカスタマイゼーションの実現手段のひとつが「スマートファクトリー化」です。スマートファクトリーにおけるスマートものづくりは目指す理想像によってアプローチは異なりますが、広い意味ではOTネットワークをITネットワークやクラウド上の各種システムなどとつなげて、生産現場を中心としてサプライチェーンも含めて情報を統合することを目指します。

例えば最近ではIoTの取り組みも盛んです。センサーやカメラを産業機械に取り付けて収集したデータを分析する場合、分析基盤はITネットワーク内やクラウドに存在しているケースもあります。

このように今までは閉域とされてきたOTネットワークも、インターネットに接続されるようになりつつあり、将来この流れはますます加速するでしょう。




サイバー攻撃でOTネットワーク、生産ラインが停止する事件も増加


IDC Japan㈱の「2020年 国内企業のIIoT/OTセキュリティ対策実態調査」によると、34.4%の企業が工場やシステムに関連したセキュリティ事件/事故を経験しています。それにもかかわらずIIoT/OTセキュリティ対策状況に関して半数近くの49.8%の企業が「対策が不十分」と認識しており、セキュリティ強化に課題を抱えていることがうかがえます。


これまでにもOTネットワークがサイバー攻撃を受けて莫大な被害が発生した例もあります。


  • 半導体メーカーで生産停止(台湾)
    2018年に台湾にある半導体メーカーで工場内の機器がランサムウェアWannaCryに感染。感染が拡大したことで、4日間生産ラインの停止に追い込まれました。WannaCryは全世界150カ国、200,000台以上の端末に感染し、猛威を振るいました。
  • 飲料・食品メーカーでグローバルなIT機能が停止(アメリカ)
    2017年、米国の飲料・食品メーカーでランサムウェアNotPetyaのサイバー攻撃を受け、被害が広範囲におよびグローバルなIT機能が停止。被害総額は1億5千万ドル以上に及んだとされています。
  • 航空機部品メーカーで生産停止(ベルギー)
    2019年にベルギーの航空機部品メーカーでランサムウェアのサイバー攻撃を受け、生産ラインが1週間以上停止。この結果、約1,000人の従業員が自宅待機となりました。

サイバー攻撃により工場が生産停止に追い込まれると、自社の売上はもちろん取引先の事業にも深刻な被害を与えます。ランサムウェアを使ったサイバー犯罪集団にとって、OTネットワークは恰好の標的と言えるでしょう。




OTネットワークのセキュリティリスクとは?


OTネットワークはITネットワークとは異なる次のような特徴があります。


  • パッチ適用などができない
    工場のシステムはリアルタイムの制御や長い期間の連続運転が求められることから、システム停止の可能性があるOSへのパッチ適用やウイルス対策ソフトのインストールが行われていない場合があります。
  • IT管理者が存在しないケースがある
    工場の部門は情報システム部門を介さずにシステムを構築することが多く、IT管理者がいないケースがあります。情報システム部門は職掌の関係からOTネットワークの内容を把握しておらず、セキュリティ対策について介入できないケースもあります。
  • 機器構成が頻繁に更新される
    工場では生産ライン変更や装置交換が頻繁に行われます。担当者が現場改善のために各種機器を接続することもあります。さらに最近ではタブレットなどモバイル機器やIoT機器等の導入が進み、ますます複雑化しています。

OTネットワークは接続する機器を管理しにくく、また脆弱性が残ったままの機器が多い環境と言えます。そのため、万が一、USBメモリやメンテナンス用の回線などからマルウェアに感染してしまうと、感染端末を特定することが困難で被害が拡大する恐れがあります。




OTネットワーク・生産ラインを止めないために




このようにセキュリティ対策についてはOTネットワークならではの課題があります。しかしご紹介したように、製造現場におけるセキュリティリスクはきわめて深刻で、早急な対応が求められます。生産ラインを止めないために、まずは次の3つの項目をチェックすることが必要です。


  • OTネットワークに接続されている機器を漏れなく把握しているか
    PLCやDCS、 IoT機器、PC、タブレット等、OTネットワークに接続されているすべての機器を把握することは、セキュリティ対策の第一歩と言えます。もれなく管理し、外部から持ち込まれた未許可の機器が接続されることがないように対策を打つ必要があります。
  • 機器がOTネットワークのどこに接続されているかを把握しているか
    機器に問題が発生した場合、その機器がどこにあるかをすぐに特定することができないと生産ラインの停止が長引く可能性があります。問題が発生した機器がOTネットワークのどこに接続されているかを、すぐに把握できる仕組みが必要です。
  • 自己拡散型マルウェアの活動を検知する手段があるか
    通常は機器をインターネットに接続して最新のセキュリティパッチを適用したり、ウイルス対策ソフトを導入する必要がありますが、現状ではインターネットに接続されていないOTネットワークも多く、それができません。閉域といえどもマルウェア感染リスクはあり、特に自己拡散型マルウェアは被害が甚大になるため、エージェントレスで自己拡散型マルウェアの活動を検知できる仕組みが必要です。



iNetSec SFで安心・安全なOTネットワークへ



生産ラインを止めないための対策としておすすめしたいのが、セキュリティ対策アプライアンス「iNetSec SF」です。iNetSec SFは、OTネットワークに接続するすべての機器を設置場所も含めて「見える化」し、自己拡散型マルウェアの活動を局所化することで、安心・安全なOTネットワークの実現に貢献します。


  • エージェントレスでOTネットワークに接続されている機器をもれなく「見える化」
    オフィスのIT機器を管理する場合には、各機器に資産管理エージェントを導入する場合がありますが、PLCやIoT機器などはエージェントを導入することができません。iNetSec SFはエージェントが不要。OTネットワークに接続する機器を漏れなく検知して「見える化」し、未許可の機器を遮断することもできます。
  • 機器がOTネットワークのどこに接続されているかを把握
    PLCや各種IoT機器に何らかの問題が発生した場合、iNetSec SFなら、故障した機器が接続されている場所(機器が接続されているスイッチングハブのポート番号)をすぐに特定できます。万が一の際でも交換などの迅速な対応が可能となり、生産ラインの停止時間を最小限に抑えられます。
    ※直接インテリジェントスイッチに接続されている場合に限ります。
  • 閉域の環境でも自己拡散型マルウェアを検知して局所化
    ネットワーク内の通信の振る舞いを監視することにより、OTネットワーク内の自己拡散型マルウェアの活動を検知して、自動的に遮断できます。ウイルス対策ソフトのようにインターネットに接続してパターンアップデートをする必要がありません。被害の早期検知による迅速な対処で、感染の被害を局所化することができます。
    ※iNetSec SF(オンプレミス版)のみ対応可能。「標的型サイバー攻撃振る舞い検知セグメントライセンス」(オプション)の購入が必要です。

OTネットワークに接続するすべてのIT機器を見える化し、ネットワーク通信の振る舞いからサイバー攻撃を検知・遮断できるiNetSec SFは、生産現場の要となるOTネットワーク、生産ラインを守ります。


商標について
Linuxは、Linus Torvalds の米国およびその他の国における登録商標または商標です。
その他の会社名、製品名などは、各社の商標または登録商標です。


前の記事へ
次の記事へ