OTとITの違いは?システムやセキュリティに関する違い、連携にあたっての注意点などを解説
公開日:2024.11.11 更新日:2024.11.11
OTとITの違いを理解できていない方は多いのではないでしょうか。ITが情報を取り扱う技術・システムなどの情報技術の総称なのに対し、OTは工場やプラントなどで使用する機器を制御・運用する技術の総称です。この記事では、OTとITのシステムやセキュリティにおける違い、連携にあたっての注意点について解説します。
OT・ITとは何を指すのでしょうか。まずは、それぞれの定義を理解しておきましょう。
OT・ITとは
OTとは
OT(オペレーショナルテクノロジー)とは、産業プラントや社会インフラなどの設備・システムを制御・運用する技術の総称です。
一般的に、工場や発電所などの閉じられた環境で運用されます。製品・部品の製造を行うロボット、ダムの排水量調節、センサーによる温度監視など、活躍の場が広いのが特徴です。OTは社会の根幹を担うシステムであるため、稼働の安定性とセキュリティ面の安全性が重視されます。
ITとは
IT(インフォメーション・テクノロジー)とは、コンピュータネットワークを使用し、情報処理・データ管理を行うデジタル技術の総称です。インターネットなどの通信技術だけでなく、セキュリティに関する技術も含まれます。
OTとは逆にオープンな環境で使用され、さまざまなビジネスに加え一般消費者にまで幅広く普及しているのが特徴です。データの電子化が進む現代の情報社会において、ITには特に機密性が求められています。
OTとITの関係性
OTとITには、どのような相互関係があるでしょうか。OTとITの関係をみていきましょう。
以前までのOTとITの関係
OTとITは未連携であることがほとんどで、OTシステムは独立していた状態といえる
従来、一つの企業や製造工場において、実際に製造を行う現場のライン(OT)と、情報処理・管理を行う部門(IT)の連携はほとんどなく、OTシステムは独立している傾向にありました。
そのため、OTがネット環境に晒されることはなく、外部からのサイバー攻撃を受けたり、不正アクセスされたりするリスクは低い状況だったのです。
現在のOTとITの関係
OTとITが連携し、OTシステムに外部から侵入されるリスクが高まっている
現在では、業務効率化や生産性向上のためのDX化によって、OT・IT間の連携が進んでいます。利便性や生産性が高まる一方で、ネットワークとつながっているITとの連携により、外部からOTシステムに侵入されるリスクが高まっている状況です。
OTシステムに外部から侵入された場合、システムの稼働や製造ラインをすべて停止せざるを得ないといった事態にもなりかねません。
OTとITの違い
| OT | IT | |
|---|---|---|
| 目的 | 物理的プロセスの制御 | 情報処理とデータ管理 |
| システム・構成要素 | センサー、PLC、制御システム | サーバー、PC、ネットワーク機器 |
| 運用サイクル | 長期 | 比較的短期 |
| 運用管理 | 専門技術者による運用 | IT部門による運用 |
| セキュリティの優先 | 可用性と安全性 | 機密性と完全性 |
OTとITには上記のような違いがあります。それぞれの観点から、違いを詳しくみていきましょう。
目的の違い
| OT | IT | |
|---|---|---|
| 目的 | 物理的プロセスの制御 | 情報処理とデータ管理 |
OTは、製造工場や発電所など多様な機器を扱う場で、物理的プロセスのコントロールを行うためのシステムです。複数の機械を動かす製造ラインなどを、対象のライン独自のOTシステムで安全に稼働し続けられるようにしています。
一方ITは、情報の処理やデータの管理など、ネットワーク環境と関連してデータを安全に扱うためのシステムです。
システム・構成要素の違い
| OT | IT | |
|---|---|---|
| システム・構成要素 | センサー、PLC、制御システム | サーバー、PC、ネットワーク機器 |
OTは、主に高い可用性や安全性を保つためのセンサー、制御システム、決められた順番で機械を動かす制御装置PLC(Programmable Logic Controller)などで構成されています。OTの目的は、機器を安定して稼働させることです。
一方、ITシステムを構成している要素は、サーバーやPC、アプリ、ネットワーク機器など、多岐にわたります。情報処理やコミュニケーションを効率化し、ビジネスや社会のさまざまな分野で利用されています。
ライフサイクルの違い
| OT | IT | |
|---|---|---|
| ライフサイクル | 長期 | 比較的短期 |
OTシステムはライフサイクルが短くても10年、長くて20年と比較的長期です。そのため、OTシステムの更新頻度も低くなりがちで、長期間同じシステムを使いつづけていたという場合も少なくありません。
ITシステムはまめな更新が必須です。そのため、ライフサイクルが2年〜5年程度と比較的短期であり、高い頻度で更新が行われます。
運用管理の違い
| OT | IT | |
|---|---|---|
| 運用管理 | 専門技術者による運用 | IT部門による運用 |
OTシステムは、扱う機器などの特徴を深く理解し、ライン全体を把握した特定の専門技術者によって運用されているケースが多い傾向にあります。一方ITシステムは、運用範囲や内容が幅広いため、IT部門全体によって運用されているケースがほとんどです。
システム保全のうえで優先することの違い
| OT | IT | |
|---|---|---|
| セキュリティの優先 | 可用性と安全性 | 機密性と完全性 |
OTは、人命に影響をおよぼす可能性もある物理的な機器を扱います。そのため、システムが継続して安全に稼働できるかが重要です。ITでは社内の機密情報などを多く扱うため、情報漏洩を防ぐシステムの機密性や安全性が重視される傾向にあります。
OTセキュリティとITセキュリティの違い
| OTセキュリティ | ITセキュリティ | |
|---|---|---|
| 脅威 | 物理的な攻撃、制御システムへの不正アクセス | マルウェア感染、情報漏洩 |
| 対策 | ネットワーク分離、物理的セキュリティ強化 | アンチウイルスソフト、ファイアウォール |
OTとITでは、セキュリティの面でどのような違いがあるのでしょう。OTセキュリティとITセキュリティの違いについて詳しく解説します。
脅威の違い
| OTセキュリティ | ITセキュリティ | |
|---|---|---|
| 脅威 | 物理的な攻撃、制御システムへの不正アクセス | マルウェア感染、情報漏洩 |
OTでは、稼働する機器やラインが物理的な攻撃を受ける危険性が脅威の一つです。例えば、ウイルスに感染したUSBを接続するなどした場合に、ウイルスがOTシステム内にも蔓延し、稼働が停止してしまうなどの被害が発生する可能性があります。場合によっては、ラインが乗っ取られてしまい、不測の事態に陥る場合もあるでしょう。
ITにおける脅威は、ウイルスなどのマルウェアへの感染が挙げられます。加えて、機密情報を管理するうえで、深刻なトラブルを招くおそれがある情報の漏洩を回避しなければなりません。
対策の違い
| OTセキュリティ | ITセキュリティ | |
|---|---|---|
| 対策 | ネットワーク分離、物理的セキュリティ強化 | アンチウイルスソフト、ファイアウォール |
OTで行うべきセキュリティ対策は、システムとネットワーク環境を分離することと、物理攻撃から守るために物理的セキュリティを強化することです。
一方ITでは、アンチウイルスソフトでウイルスからPCを守る、機密情報の漏洩を防ぐファイアウォールを入れるといった対策が必要となるでしょう。
OTとITの連携の際に重要な「セキュリティ」
現在では、データ分析やAI活用の目的でOTとITの連携が進んでいます。外部とのネットワーク接続によるクラウドの利用も増加し、サイバー攻撃を受けるリスクも増加傾向です。
実際に、半導体業界、アルミニウム生産関係、自動車関係、石油関係など、すでに多くの業界で被害が発生・確認されています。
【発生事例】
| 発生年 | 業界 | 被害の概要 |
|---|---|---|
| 2019 | アルミニウム生産 | 拠点のほとんどが操業停止、数十億円の被害 |
| 2020 | 自動車 | 各国拠点のPCダウン、北米全拠点の操業停止 |
| 2021 | 石油パイプライン | 5日間操業停止、システムには1週間以上の影響 |
| 2022 | 自動車 | 国内全14工場操業停止 |
これらの事案を受けて、OTセキュリティに関する規制やガイドラインの策定・整備が世界基準で進展しました。製造業の現場において、これらの基準を満たすセキュリティ対策を行っていなければ、取引先の信頼を得られず失注につながる場合もあります。
そのため、できる限り世界水準のセキュリティ対策を意識し、より安全性を高めた統合システムとしての運用を目指すべきでしょう。
OTとITの統合セキュリティ対策を行う際に必要なこと
OTにおけるセキュリティ強化の必要性が増す昨今では、OTとITの統合セキュリティ対策が急務です。必要なアクションは何か、どのような点に注意すべきかを解説します。
OTとIT各担当が相互理解を深める
OTシステム担当者は、自社で扱っているOTシステムに関する特徴などは細かく把握しているでしょう。しかし、セキュリティについては詳しくないケースが少なくありません。
逆にITでは、セキュリティのノウハウはあるものの、普段関わりの少ないOTシステムについての詳細は把握していない場合も多くあります。そのため、統合したセキュリティシステムを設置・運用するには、OT・IT双方の担当者間における相互理解と協力体制が欠かせません。
世界基準のOTセキュリティに関する規制の存在を理解する
すでに国内でもOTセキュリティに関するガイドラインが設定されているほか、国際的な基準も各業界でアップデートが進んでいます。今後、これらの国際的な基準に準拠していかなければ、失注のリスクがある点は十分理解しておくことが必要です。
まずは、国内基準をしっかり確認したうえで、今後日本が国際基準に合わせていくことも想定した対策が必要でしょう。
▼工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインについて詳しくはこちら
IPA「制御システムのセキュリティリスク分析ガイド 第2版」https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
IPA「産業用制御システム向け侵入検知製品等の導入手引書」https://www.ipa.go.jp/security/controlsystem/icsidshandbook.html
経験のないトラブルに備えたガイドラインを設置する
すでに現在、OTシステムにもサイバー攻撃がおよぶ事案が発生している状況です。これらへの対応は急務といえますが、未経験のトラブルについては想定が難しいのも実情でしょう。
仮に事例を辿って対応を試みたとしても、OTシステムの詳細な内容は使用する機器が異なれば事情は変わってきます。そのため、「自社にある独自のラインにおいてどう対応すべきか」という基準で考え直す必要があるでしょう。
また、ガイドラインは運用しやすいルールや仕組みで構築される必要があります。責任の所在や担当者の連絡先、対応方法などのフローが明確になるように作成しましょう。
OTとITに関するよくある質問
OTとITに関するよくある質問をまとめました。セキュリティ対策を進めるうえでの参考にしてみてください。
Q.ITのセキュリティを高めるだけでは、OTは守れないのでしょうか?
- A.現在では、ITだけでなくOTにおいてもセキュリティ対策が必要となってきています。 従来OTとITは完全に分離していたため、OTのセキュリティリスクは低かったですが、DX化の進展で連携が進み、OTにもサイバー攻撃への脅威が拡大しているためです。
Q.OTシステムのセキュリティ対策はどれも同じですか?
- A.「すべてのOTシステムに共通するセキュリティ対策」というものは存在しません。導入されているシステムの種類、規模、業界によっても大きく異なります。各社独自の視点で、セキュリティ対策を考える必要があるでしょう。
OTとITの違いを理解してセキュリティ対策を強化しよう
これまでOTとITは完全に切り離されており、OTにおけるセキュリティ面のリスクは高くありませんでした。しかし、DX化の進展につれてOTとITの一体化が進み、OTのセキュリティ対策は欠かせない状況になってきています。
OTとITの統合セキュリティ対策を進めるには、部門間の相互理解と協働が必要です。国内で設定されたガイドラインに従って、適切なセキュリティ対策を行っていきましょう。
カナデンでは、サイバーセキュリティ対策をワンストップで提供する「OTセキュリティソリューション」を提供しています。さまざまなIT/OT技術を要する「課題抽出」「対策導入」「運用」「人材育成」までをトータルでサポートします。お困りごとがあれば、まずはお気軽にご相談ください。
OTセキュリティ関連記事
