ITトレンド記事 コラム
来るべき「OTセキュリティ」のリスクに備えるために
知っておくべきこと(2)
一般社団法人日本ハッカー協会 代表理事 杉浦 隆幸
安定稼働が最優先のOTシステムではソフトウェアの頻繁なアップデートは無理
前回はOTセキュリティを取り巻くさまざまな状況や、そのリスクの深刻さなどについて概説しました。今回はそれらの内容を踏まえて、多くの企業においてOTのセキュリティ対策が、一般的なITシステムのセキュリティ対策に比べて遅れている理由をより詳しく解説するとともに、そうした問題を克服するためのヒントを探っていきたいと思います。
IT の世界におけるセキュリティ対策の第一歩は「システムを最新状態に保つこと」ですが、OTにおいてはこの常識は必ずしも当てはまりません。サイバー攻撃の多くは、システムの脆弱性を悪用することで感染・侵入を試みます。そのため自社で運用しているシステムのOSやミドルウェア、アプリケーションで新たな脆弱性が見付かった際には、開発元ベンダが提供する修正パッチをなるべく早く適用し、攻撃者に悪用される前に脆弱性に対処しておくことが重要です。
しかしITとは異なりOTのシステムは通常、ソフトウェアのアップデートを即座に適用することはありません。そのため万が一脆弱性が見つかった場合でも、事実上それが放置されたままシステムを運用し続けざるを得ないのが実情です。こうした運用を行わざるを得ない最大の理由は、OTにおいてはソフトウェアのアップデートによってシステムに予期せぬ問題が発生し、動作が不安定になってしまうリスクを何としてでも回避する必要があるためです。
OSやミドルウェア、アプリケーションにパッチを適用すると、脆弱性が解消されるだけでなく、ソフトウェアの挙動に何らかの変化が生じる可能性があります。たとえそれが些細なものであっても、環境によってはシステム全体の動作に大きな影響を及ぼす可能性があります。
OTシステムは重要な社会インフラの安定稼働や、工場やプラントといった大規模設備の制御を担うものですから、アップデートを適用することでシステム全体が不安定化してしまうリスクは到底許容できません。
結果的に、セキュリティ対策のためにOTシステムの脆弱性そのものに対して直接アプローチする方法をとることは、極めて困難だと言わざるを得ません。
ソフトウェア・ファームウェアのアップデートを行わない前提の対策を
そこでOTシステムをサイバー攻撃の脅威から守るためには、ソフトウェアやファームウェアのアップデートを行わないことを前提とした対策を考える必要があります。ここで重要になってくるのが、「多層防御」の考え方です。事実上放置されたままの脆弱性を攻撃者から守る上では、脆弱性の外側に幾重にも防御壁を張り巡らせる多層防御の体制構築が有効です。
例えば制御装置やセンサー、PLCといったOTの各構成要素に対する外側からのアクセス権限を最小限に絞り込むとともに、アクセスログを自動的にチェックすることで不審な動きがあったらすぐ発見できるか確認します。また平時におけるシステムの挙動やネットワークトラフィック発生の傾向などを把握しておき、そこから乖離した傾向が(アノマリー)検出された際に即座に管理者に通知するような仕組みの導入も有効です。
ハードウェアのソフトウェアをアップデートしたり、セキュリティソフトウェアを直接導入することが難しい場合も、イーサーネットであればファイアウォールやファイアウォール上にネットワーク上の攻撃を監視・検知するIPSなどのネットワーク型セキュリティ機能を導入してリスクを軽減できる場合があります。その場合、ネットワークプロトコルが対応しているかどうか、想定の攻撃手法に対応しているか、製品の導入によってネットワーク遅延が発生しないかどうかといった点に注意しながら製品を選定する必要があります。
このようにさまざまなレイヤーに渡って複数の対策を導入し、幾重にも防御壁を築き上げる多層防御の体制を構築することによって、OTシステム自体をアップデートせずとも一定レベルのセキュリティ対策を維持することができるでしょう。
OTシステムのIoT化やクラウド接続には多大なリスクが伴う
ネットワークの観点からも、さまざまな対策を講じることができます。OTシステムに対する攻撃者の侵入は、多くの場合ITシステム経由で行われます。そのため、まずはITシステムのセキュリティ対策を強化することが先決なのですが、万が一ITシステム側のネットワークに対する侵入を許してしまっても、OTシステム側にその影響が及ばないように両者のネットワークを物理的もしくは論理的に隔離しておけばより安心でしょう。VLANなどで論理的に分離する場合はスイッチの脆弱性管理と認証が弱くないかの確認が必要です。
とはいえ、近年では各企業とも情報システムの業務適用範囲が広がっていますから、場合によってはITとOTのネットワークを完全に分離するのは難しいかもしれません。そのような場合でも、マイクロセグメンテーションのようなネットワーク技術を取り入れて両者の間でアクセスできる範囲を最小限に留めておくことで、万が一ITシステムが攻撃を受けてもOTシステム側に及ぶ影響を最小化することができます。
ちなみに近年では、IoTを活用した「スマートファクトリー」のソリューションを導入する企業も増えてきました。そのため、工場やプラントの設備に設置したIoTセンサーの取得データを社外のクラウド環境に送出するために、OTシステムのネットワークをインターネットとつなげるケースも出てきました。これによって企業は工場やプラント、インフラ設備の稼働状況をリアルタイムにクラウド上で可視化できるようになり、また蓄積したデータを解析することでより高度かつ柔軟な設備運用が可能となります。
しかしその一方で、OTシステムをインターネットにつなぐことで一気にセキュリティリスクが高まることも考慮に入れなくてはなりません。スマートファクトリーの仕組みを設計・構築する際には、OTシステムの脆弱性を狙ったインターネット経由のサイバー攻撃のリスクを最小化できるネットワーク設計とセキュリティ対策を、必ずセットで検討しておくことが重要です。
リスクを抱えた状態でも安全に運用し続けられる仕組みが重要
これら技術的な諸対策に加えて、システム運用のプロセスや体制、社員に対するセキュリティ教育といった技術面以外での対策をしっかり講じておくことも極めて重要です。例えば、万が一OTシステムが攻撃を受けてダウンしてしまった場合を想定して、システムを復旧するための手順や体制を平時から確立しておくとともに、ランサムウェア攻撃に備えたデータバックアップの実施、個人情報や重要な秘密情報のセキュリティ強化と管理も検討しておくとさらに安心でしょう。
また前述のように、システムの稼働状況をログなどの情報を基に定常的にチェックし、不審な動向を即座に検知できる体制とプロセスを構築して、平時の運用の中で定常的に回していく必要があります。さらには、もしインシデントが発生した場合にはその影響範囲を最小限に留めつつ、根本原因をいち早く突き止めて脅威を根絶できるインシデントレスポンスの権限と組織体制も構築しておく必要があります。
ちなみにOTシステムの構築・運用は得てして企業の情報システム部門の手を離れがちですが、ことセキュリティ対策に関しては平時における万全な運用体制と有事の際の即応体制をしっかり維持するためにも、社内の情報システム部門やセキュリティ部門がITシステムと一体で管理できる体制を確立しておくことが望ましいでしょう。
そして最後に、従業員がOTセキュリティに関する十分なリテラシーを身に付けるために、定期的に教育やトレーニングを実施しておくことが大事です。加えて、OTシステムが攻撃を受けたことを想定したセキュリティ訓練やシミュレーションを定期的に実施しておけば、より多くの従業員がOTセキュリティを「自分事」として捉えるようになるでしょう。
(第3回に続く)
