【徹底解説】OT(Operational Technology)とは?ITとの関係や違い、セキュリティについて解説
公開日: 更新日:
「OTとは何か」「ITとどう違うのか」という疑問を持っている方は多いのではないでしょうか。近年、OTとITの結びつきはますます強くなってきており、相互の関係性をよく理解しておく必要があります。本記事では、OTとITの違いや関係性、OTセキュリティの重要性、課題、導入する際の注意点について解説します。
OT(Operational Technology)とは
OT(Operational Technology)とは、産業プラント・社会インフラなどの設備・システムを正常に稼働させるための制御・運用技術です。つまり、OTは物理的な機器制御を行うシステムの総称であるといえるでしょう。
社会の根幹を担うシステムであるOTにおいて重要な要素は、稼働の安定性とセキュリティ面の安全性です。
具体的なOTシステムの例
物理的な安全性を高めるための技術として、工場の製造ラインをはじめ、水道システムなどにおいて活用されている例が代表的です。
例えば、工場の製造ラインでは、主に分散制御システム(DCS)が用いられています。DCSは、工場の生産プロセスを監視・制御するためのシステムで、複数の制御装置が連携して全体を管理しています。
他にも、工場で製品を組み立てるロボットや、工場での温度や圧力などのセンサによる監視、電力やガスの供給を制御するシステムなどもOTシステムに含まれます。安定して製造ラインを稼働させるためには、OTシステムが必要です。
おすすめのOTセキュリティサービスに関する資料はこちら↓
OTとITの違い
OTは物理的な機械の動作やラインの保全などを監視・制御する技術(仕組み・システム)の総称です。一方でITは、ハードウェア・ソフトウェア・通信技術の3種類を軸とした情報技術の総称です。ほかにも、スマホやPC、アプリケーション、ネットワークなどもITと呼ばれます。
OTシステムは機械・装置を正常に稼働させることを目的としたシステムであるため、セキュリティに加えて可用性・安全性が特に重視されます。一方、外部にオープンな状況になりやすく、機密性の高い情報を扱うことも多いITシステムでは、OTシステムと同様に高度なセキュリティが求められます。
▶関連記事:OTとITの違いは?システムやセキュリティに関する違い、連携にあたっての注意点などを解説
OTセキュリティが注目されている理由
ITとの連携が進むなか、OTシステムのセキュリティ強化は急務です。OTセキュリティの重要性について詳しく解説します。
OTが使用されている場がかなり多い
OTシステムは、工場やインフラなど社会に必要とされている多くの場で使われています。特に製造工場や発電所、水道システムでは、1日停止してしまうだけでも生活に多大な影響が出ることは避けられません。ネットワークを通じて行われるサイバー攻撃などによって、人々の生活や社会を動かすための製造ラインなどがストップするリスクを避けるためにも、OT自体に十分なセキュリティが求められています。
ITとの連携が進んでいる
業務の効率化や生産性向上のために、ITとの連携が急速に進んでいるという事情もあります。OTはこれまで外部ネットワークとつながっていない独立したシステムだったため、セキュリティリスクを考慮する必要のあるケースは多くありませんでした。今後はOTがITと連携してもトラブルが発生しないよう、システムのセキュリティを強化する必要があります。
サイバー攻撃の危険性が増している
ITとの連携で外部から侵入されるリスクが高まり、OTにもサイバー攻撃や不正アクセスの脅威が拡大してきている現状は無視できません。すでに、半導体業界、アルミニウム生産関係、自動車関係、石油関係など多くの業界で世界的な被害が広がっており、早急な対応が求められている状況です。
【発生事例】
| 発生年 | 業界 | 被害の概要 |
|---|---|---|
| 2019 | アルミニウム生産 | 拠点のほとんどが操業停止、数十億円の被害 |
| 2020 | 自動車 | 各国拠点のPCダウン、北米全拠点の操業停止 |
| 2021 | 石油パイプライン | 5日間操業停止、システムには1週間以上の影響 |
| 2022 | 自動車 | 国内全14工場操業停止 |
| 2023 | 港湾・物流(豪 DP World) | オーストラリア国内4つの主要港が数日間にわたり操業停止。コンテナ3万個が滞留し、物流網に深刻な影響。 |
| 2023 | 公共インフラ(水)(米ペンシルベニア州等) | イスラエル製PLC(Unitronics製)が攻撃を受け、水圧調整ポンプ等の遠隔操作が不能に。国家支援型グループ「CyberAveng3rs」による犯行。 |
| 2024 | エネルギー・石油関連(米 Halliburton) | 大手石油サービス企業のシステムがランサムウェア攻撃を受け、一部の操業およびビジネスプロセスが中断。石油・ガス供給チェーンへの懸念が拡大。 |
| 2024 | 公共インフラ(水・電気)(英・米複数) | 「Volt Typhoon」等の攻撃者により、重要インフラのOTネットワーク内に長期間潜伏される事案が発覚。有事の際の物理的破壊・機能停止を目的とした「事前配置」が問題視された。 |
| 2025 | 海運・広域物流(欧州大手) | 2025年初頭、欧州の主要港湾ターミナルにおいて自動化クレーンおよび荷役管理システムがダウン。高度なサプライチェーン攻撃により数週間にわたり稼働率が50%以下に低下。 |
世界基準でOTセキュリティに関する規制やガイドラインが進展している
世界各国でのセキュリティ事故事例を受けて、OTセキュリティの国際基準の制定が進められています。また、国内でもOTにおけるセキュリティガイドラインの策定・整備が進んでいます。
今後は、国内の基準だけでなく、国際的な基準にも準拠していかなければ、サプライチェーンから締め出されてしまうリスクがあるといえるでしょう。
▶関連記事:工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインとは?
▶関連記事:CRA(EUサイバーレジリエンス法)とは?規制内容やセキュリティ対応策を解説
※出展:IPA「制御システムのセキュリティリスク分析ガイド 第2版」
※出展:IPA「産業用制御システム向け侵入検知製品等の導入手引書」
おすすめのOTセキュリティサービスに関する資料はこちら↓
OTセキュリティの課題
OTシステムのセキュリティ対策が必要であることは多くの企業が理解していますが、実際に導入を進めようとすると、OT特有の環境や文化が大きな障壁となるケースが少なくありません。ここでは、対策を難しくしている代表的な4つの課題について解説します。
▶関連記事:OTに新たに迫る課題―ITとの融合で統合セキュリティが必要に―
システムの連続稼働が必要でアップデートが困難
OTシステムにおける課題は、セキュリティパッチの適用やOSのアップデートが極めて難しいという点です。ITシステムであれば、夜間や休日にサーバーを再起動して更新を行うことができますが、24時間365日の連続稼働が前提の工場やインフラ設備では、メンテナンスのための停止調整が容易ではありません。
システムを停止させると生産計画に遅れが生じたり、再起動時のトラブルで稼働が戻らなくなったりするリスクがあるため、既知の脆弱性があってもパッチを当てずに運用せざるをえないのが実情です。
レガシーOSの長期利用による脆弱性の蓄積
OT機器の耐用年数は10〜20年と長く、Windows XPやWindows 7といった、メーカーのサポートが終了した古いOS(レガシーOS)が依然として現役で稼働しているケースが多く見られます。
これらのシステムは導入当初、「外部ネットワークには接続しない」という前提で設計されていたため、現代のサイバー攻撃に対抗するためのウイルス対策ソフトなどが導入されていないことがほとんどです。
古いOSはセキュリティの欠陥が修正されないまま放置されているため、ひとたび侵入を許すと、攻撃者にとって格好の標的となってしまいます。
外部デバイス接続やメンテナンス回線からの感染リスク
完全に隔離されたネットワークであっても、物理的なデバイスの接続がセキュリティホールになることがあります。
例えば、機器のメンテナンスを行う業者が持ち込んだパソコンやUSBメモリがウイルスに感染しており、そこからOTシステムへ感染が広がるケースです。また、近年ではタブレット端末の利用や、遠隔保守のためのメンテナンス回線(リモートアクセス)も増えており、管理者が把握しきれていない経路からマルウェアが侵入するリスクが高まっています。OT環境では接続される端末の管理がITほど厳格ではないことも多く、感染源の特定に時間がかかる要因となっています。
IT部門が関与できない組織的な管理の壁
企業において、OTシステムの構築・運用は工場の現場部門(OT部門)が独自に行っており、情報システム部門(IT部門)がその詳細を把握できていないという「組織の壁」が存在します。IT部門は「工場のことは現場に任せているため、どのような機器がネットワークにつながっているかわからない」という状態になりがちです。
一方で、現場のOT担当者はITセキュリティの専門家ではないため、適切な対策を講じることができません。このように管理責任の所在が曖昧になっていることが、全社的なセキュリティ統制を阻む大きな要因となっています。
OTセキュリティを導入する際に必要な3つの観点
OTセキュリティを導入する際にはどのような点に注意する必要があるでしょうか。基準にすべき3つの観点についてみていきましょう。
【組織】OTセキュリティを主導する部門を明確にする
まずは、「誰が」あるいは「どの部門が」OTのセキュリティ対策を主導するかを決めなければなりません。そのためには、IT部門、OT部門それぞれの現状把握が必要です。
例えば、IT部門では、セキュリティには詳しくてもOTシステムについては把握しきれていないケースも多いでしょう。一方OT部門であれば、OTのシステムや製造ラインについては詳しくても、セキュリティ関連に馴染みがない場合が少なくありません。
これらの現状を鑑みて、相互理解を深め、対策の発足時には共同のチームを立てることも必要となります。
【技術】OTの特性を考慮した対策を適用する
OTのセキュリティ対策では、OTの特性を考慮した対応が必要です。セキュリティ対策ソフトが、OTシステムを導入しているすべての機器に対応しているとは限りません。どの部分にセキュリティ対策を施すと効果が高まるのか、どのように実装すれば機器の稼働に支障がないかなど一連のラインを理解した上で導入を検討する必要があります。
【プロセス】OTセキュリティ対策を継続するためのルールをつくる
OTセキュリティ対策を継続的に行っていくためのルールづくりも重要です。アセスメント担当、運用担当などそれぞれの役割を明確にし、組織体制を整える必要があるでしょう。同時に、リアルタイムに監視・対策を行える環境を整備したり、自社のOTシステムに適した形でセキュリティが動作するよう、細かくチューニングを行ったりする必要もあります。
おすすめのOTセキュリティサービスに関する資料はこちら↓
【近年】OTシステムを取り巻く環境の変化
近年、工場やプラントなどの制御システム(OT)を取り巻く環境は、デジタルトランスフォーメーション(DX)の進展とともに大きく変化しています。
従来は外部ネットワークから隔離されていたOTシステムが、データ活用や効率化のために情報システム(IT)やクラウドと接続される機会が増加しました。これに伴い、前述したとおり、サイバー攻撃の脅威が物理空間にまで及び、事業継続を脅かすリスクが急高まっています。
OT環境の課題
ランサムウェア攻撃やDDoS攻撃による被害は、企業の生産活動に甚大な影響を与えます。 特に製造現場では、一度システムが停止すると、再稼働までに多大な時間とコストを要することが少なくありません。攻撃者は、セキュリティ対策が比較的手薄なサプライチェーンの弱点や、管理が不十分なVPN機器などを標的に侵入を試みます。
OT環境には、一般的なIT環境とは異なる特有の課題が存在します。製造装置などの設備は、一度導入されると20年以上といった長期間にわたり使用されることが一般的です。そのため、すでにサポートが終了したOS(レガシーOS)を搭載した端末が、稼働し続けざるを得ない状況が見られます。
また、工場のラインは24時間365日の連続稼働を前提としている場合が多々あります。システムを停止してセキュリティパッチを適用するタイミングを確保することは、容易ではありません。こうした制約が、脆弱性を放置せざるを得ない状況を生み出しているのです。
以下の表に、OT環境において特に懸念されるセキュリティ上のリスク要因を整理しました。
| リスク要因 | 内容 | 影響 |
|---|---|---|
| レガシーOSの利用 | サポートが終了したOS(Windows XP、Windows 7など)を使い続けている | 新たな脆弱性が見つかっても修正パッチが提供されず、サイバー攻撃の標的になりやすい |
| パッチ適用の困難さ | 24時間稼働や性能保証の制約により、修正プログラムの適用が難しい | 既知の脆弱性が長期間放置され、攻撃コード(エクスプロイト)を悪用されるリスクが高まる |
| 独自プロトコルの利用 | 暗号化や認証機能を備えていない業界独自の通信プロトコルを使用している | 通信の盗聴・改ざん、不正なコマンド送信などが可能になる |
| サプライチェーンリスク | 装置メーカーや保守業者など、複数の関係者がシステムに関与している | 委託先のセキュリティ不備や、持ち込み機器を介したマルウェア感染のリスクがある |
産業分野ごとのガイドライン策定と国際標準への対応
こうしたリスクに対抗するため、産業分野ごとの特性を踏まえた対策指針の整備が急ピッチで進められています。 経済産業省は2025年、半導体産業の重要性を踏まえ、「半導体デバイス工場におけるOTセキュリティガイドライン」を策定しました。
このガイドラインでは、生産目標の維持や機密情報の保護を優先事項とし、リスクベースでの対策を推奨しています。国際的な基準への準拠も、グローバルなサプライチェーンを維持する上で欠かせません。 制御システムセキュリティの国際規格である「IEC 62443」シリーズの活用が、電力や鉄道、化学といったさまざまな業界で進展しています。 また、オーストラリアのACSCが「OTサイバーセキュリティの原則」を公開するなど、各国政府も重要インフラ保護のための政策を強化しています。
出典:経済産業省「半導体デバイス工場におけるOTセキュリティガイドライン」https://www.meti.go.jp/policy/netsecurity/wg1/semiconductor_systems_guideline.html
おすすめのOTセキュリティサービスに関する資料はこちら↓
OTに関するよくある質問
OTについて最近知ったばかりでよく分かっていない方も多いのではないでしょうか。ここでは、OTに関してよく寄せられる質問に回答していますので、さらに知りたい方はぜひ最後までお読みください。
Q.OTとITの連携で、業務効率や生産性が向上するのはどのような仕組みですか?
- A.既存のITシステムやインターネットとの連携によって情報の迅速な把握が可能になるため、業務効率や生産性の向上につながるという仕組みです。例えば、工場の生産実績において、これまで手動でシステムに入力する必要があった記録業務も、センサなどの機器から自動的にデータを収集・連携できるようになり、よりスピーディかつ正確に行えるようになります。
Q.OTセキュリティは具体的にはどんな対策方法がありますか?
- A.主に3つの方法が挙げられます。1つ目は、OTシステムに接続できるネットワークを、通常業務で使用しているITネットワークと切り分けて、できるだけ限定的にして侵入リスクを極小化させるという方法です。2つ目は、アクセス制御によって必要な通信のみを許可したりするといった方法。3つ目にOT環境に適した不正侵入を検知する機器の導入や、アクセス履歴の記録といった方法が挙げられるでしょう。
OT・ITの緊密な連携でセキュリティ対策を進めよう
急速なDX化、スマートファクトリー化にともない、これまでクローズドな環境下にあったOTとITの連携が進んでいます。そのため、従来外部からの侵入リスクがなかったOT領域においてもセキュリティ対策が必須となってきており、現場における対応が求められている状況です。
OTのセキュリティ対策では、セキュリティに関するノウハウはもちろんOTの特性に合わせた対策を施すことが重要です。適切なセキュリティ対策を行うためにも、いかにOT領域とIT領域が相互理解を深め、協働していけるかという点が今後の重要課題といえるでしょう。
カナデンでは、サイバーセキュリティ対策をワンストップで提供する「OTセキュリティソリューション」を提供しています。さまざまなIT/OT技術を要する「課題抽出」「対策導入」「運用」「人材育成」までをトータルでサポートします。お困りごとがあれば、まずはお気軽にご相談ください。
