ITトレンド記事 コラム
来るべき「OTセキュリティ」のリスクに備えるために
知っておくべきこと(3)
一般社団法人日本ハッカー協会 代表理事 杉浦 隆幸
長らく閉域網で運用してきたOTにもサイバーセキュリティのリスクが及ぶように
工場・プラントの産業用制御システム(ICS)やインフラ施設の監視制御システム(SCADA)などをはじめとする「OTシステム」は、これまで長らく「隔離された環境で安全に稼働する」という設計思想のもとで構築・運用されてきました。
ネットワークのアーキテクチャやトポロジーも、インターネットとは隔絶された「閉域網」の環境で主に運用されてきたため、一般的なITシステムと比べると外部からサイバー攻撃を受けるリスクははるかに低く、そのためサイバーセキュリティ対策もほとんど考慮されることがありませんでした。
しかしビジネスにおいてインターネットサービスが広く使われるようになった今日、OTシステムのサイバーセキュリティ対策もだんだん無視できなくなってきました。
今や業務でAWS(Amazon Web Services)やMicrosoft Azure、GCP(Google Cloud Platform)といったクラウドプラットフォーム上に構築されたサービスを使うのはすっかり当たり前になり、今後は基幹システムのクラウド移行も進むと言われています。こうした「ITシステムのクラウド化」のトレンドは、企業に数々のメリットをもたらす一方で、今までとは異なるサイバーリスクに対応する必要が出てきました。
OTの安全性を確保するためにはまずはITのセキュリティ対策強化が先決
特にコロナ禍で多くの企業がリモートワークを急遽導入した時期には、自宅など社外の環境からインターネット経由で自社のシステムやクラウドサービスにアクセスして業務を行うスタイルが広く普及しましたが、ここで急遽導入されたVPN機器やリモートアクセス製品の脆弱性を悪用するサイバー攻撃が急増し、世界中で多くの被害が発生しました。
こうしたサイバー攻撃の大半は、ITシステムの中に存在する重要データの窃取や破壊を狙ったものでしたが、OTシステムにとってもこれは決して「対岸の火事」ではありません。OTシステムの多くは内部でITシステムとネットワーク接続されてしまっているため、いったんITシステムへの不正侵入を許してしまうと、そこを経由して一気にOTシステムに侵入されてしまうリスクが高まります。
これらのリスクに対処するためには、まずはインターネットからの潜在的な侵入口を数多く抱えるITシステムの方のセキュリティ対策をしっかり固めることが先決です。特に近年サイバー攻撃の標的として頻繁に狙われる「VPNやリモートデスクトップの脆弱性」にはしっかり対応していく必要があります。具体的には製品に対する迅速なパッチ適用やツールのアップデート、アタックサーフェイスからの排除、多要素認証(MFA)の導入、常時ログ検査、アクセス権限の定期的な見直しと監査などが有効です。
そもそもセキュリティが考慮されていない古いプロトコルの利用
一方、ITシステムが万が一侵害されたしまった場合に備えて、OTシステム側でもできる限りセキュリティ対策を強化しておきたいところです。しかしOTシステムはさまざまな面でITシステムとは異なる特性を持つため、ITシステムと同じ発想での対策はなかなか通用しないことに十分注意する必要があります。
現在稼働しているOTシステムの中には数十年前に設計・導入されたものもあり、今日のサイバー攻撃が想定されていない時代の古い設計思想に基づいています。そのため、最新のサイバー脅威に対応できない状態のまま運用されているのが実情です。
例えば、多くのOTシステムで使われている「Modbus」「DNP3」といったプロトコルは原始的なプロトコルであり、暗号化や認証といったセキュリティ機能は考慮されていません。不用意にインターネットから利用できるようにすると、ほぼ確実に侵入されると考えるべきでしょう。
このような旧式のプロトコルにセキュリティ機能を追加するためには、システム全体の設計から見直す必要があります。
多くの企業にとってOTシステムは自社の生産活動を直接担うものであり、その設計を一から見直すことはすなわち生産活動を長期間に渡り停止させることにほかなりません。当然のことながら企業全体の経営に極めて大きなインパクトを与えるため、どうしても既存資産を可能な限り維持することが優先されがちです。
とはいえ、こうした状況を長年放置したままでいると、潜在的なセキュリティリスクは年々高まっていくばかりです。そのため、もし可能であれば工場やプラントの稼働を一時的に停止し、思い切ってシステムをアップデートして安全なプロトコルへ移行するのが理想的です。またネットワーク設計も大幅に見直して、マイクロセグメント技術などを導入してネットワークをセグメント分けするとともに、あらためてアクセス制御の見直しと強化を行っておけばより安心でしょう。
リモートワークにおけるVPNとリモートデスクトップの脆弱性
なおコロナ禍以降に、VPN・リモートデスクトップの脆弱性を悪用した攻撃によって多くのITシステムが被害を受けたことは既に述べた通りです。警察庁が2024年9月に公表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェアの感染経路の実に8割以上がVPN機器とリモートデスクトップによって占められていると公表がありました。さらに言えば、これらのケースではランサムウェアに感染する前に攻撃者による侵入を受けていることから、実際には既に侵入を許してしまっているVPNはランサムウェア被害の数よりはるかに多いと考えられます。しかし被害者がランサムウェア被害に遭う前に侵入に気づくことは、ごく稀です。
そして同様のリスクは、OTシステムにおいても存在する可能性があります。コロナ禍以降、多くの製造企業やインフラ企業が工場やプラント、インフラ設備などのメンテナンス作業を非対面で行えるよう、メンテナンス業者に対してリモート作業用のVPNやリモートデスクトップをOTシステムに導入しました。
しかしコロナ過対応のために急遽導入されたために、これらセキュリティの貧弱なVPNやリモートデスクトップの管理が手薄になっていることが多く、定期的なパッチ適用やソフトウェアアップデートが行われていないために、脆弱性を抱えたまま運用されているケースが多々見られます。
またメンテナンス業者がVPN機器に必要な迅速なアップデート(パッチが公開されてから数時間以内に実施)や侵入者の検知と排除やリモートアクセス製品を安易なID/パスワード設定のまま利用していたり、使われなくなったID/パスワードや知らないうちに入っていた侵入者のID/パスワードやバックドアを削除しないまま放置していたりといった運用がまかり通っていると、不正アクセスによる被害のリスクが一気に高まります。
このような脆弱性がサイバー攻撃者によって悪用されると、ITシステムを経由することなくOTシステムに直接侵入されてしまう危険性があります。ましてやOTシステムの運用は企業の情報システム部門の管轄外になっていることも多く、こうしたリスクはITシステムと比べても見過ごされがちだと言えます。そのため今一度、自社のOTシステムのネットワークにこうした脆弱性がないか精査してみることをお勧めします。
(第4回に続く)
