OTに新たに迫る課題―ITとの融合で統合セキュリティが必要に―

公開日：2024.11.11 更新日：2024.11.11

OTシステムにおけるセキュリティの課題を解決したいが、何をしたらいいかわからないという方は多いのではないでしょうか。この記事では、OTシステムとITシステムの変化によるセキュリティ対策の重要性、OTシステムのセキュリティ対策を行ううえでの課題について解説します。

OT（Operational Technology）についての基礎情報

OT（Operational Technology）とは、産業プラントや社会インフラのハードウェアである設備やシステムを制御・運用する技術の総称です。OTは、いわば社会の根幹を担うシステムであるため、正常に動かし続けられる稼働の安定性と、セキュリティの安全性が求められます。

OTとITの違い

OTは物理的な機械の動作やラインの保全などを制御するシステムですが、ITはインターネット上で情報の処理・管理を行うシステムです。

情報を扱うITシステムでは、個人や企業の機密情報を保護するために、セキュリティの安全性が求められます。一方、OTシステムで重視されるのはセキュリティに加え、生産を維持するために機械・装置を動かし続ける可用性です。

OTセキュリティに関する
お問い合わせはこちら

OTセキュリティ関連記事一覧

OTシステムとITシステムの関係性の変化

近年、業務効率化や生産性向上を目的とした工場や社会インフラにおけるDX化（スマートファクトリー化）によるITとOTの一体化が進んでいます。

これまでOTは、ネットワークから隔離された環境で独立して動いていたことが多く、生産ラインやシステム制御が外部から攻撃される心配は大きくありませんでした。しかし、OTとITの一体化によりITエリアが接続しているインターネットなどの外部から、OTのシステムに侵入される危険性が高まっています。実際に、OTエリアへの不正アクセスやサイバー攻撃の脅威が拡大しつつある状況です。

OTセキュリティを行ううえでの課題

OTのセキュリティ対策とITのセキュリティ対策は内容が異なります。OTセキュリティを行ううえでの課題をみていきましょう。

ITエリアのセキュリティ担当がOTに詳しいとは限らない

情報システムであるIT部門にはセキュリティ担当がいたとしても、OTシステムの構成や仕様を把握できていないケースが少なくありません。

スマートファクトリー化する際に、IT部門とOT部門の相互連携が重要です。この連携ができていないと、セキュリティ対策も難しく、トラブル発生時の対応が困難になると想定されます。

統合してセキュリティ対策を行うのが難しい

統合してセキュリティ対策を導入することが難しいという課題もあります。ITとOTではそもそもシステムが別物であり、更新頻度なども異なるからです。

特にOT機器はシステムを停止しにくいため、セキュリティ対策のための更新などのハードルが高くなります。一時的にインフラや製造をストップさせただけでも、利用者への影響と経済的損害リスクは避けられません。

不測の事態が発生した際の対処方法が明確ではない

不測の事態が発生した場合は、OTセキュリティのノウハウが蓄積されていない現状では対応は難しいでしょう。

セキュリティ環境の復旧方法や、復旧させるシステムの優先順位なども含めて、セキュリティ対策の導入時に確認・決定しておく必要があります。

OTセキュリティに関する
お問い合わせはこちら

OTセキュリティ関連記事一覧

OTシステムを運用するうえでの課題

OTとITの境界線がなくなりつつある現在、これまでと同じOTシステム運用ではさまざまなリスクがともないます。今後、OTシステムを運用するうえで理解しておくべき課題についてみていきましょう。

世界的なセキュリティ基準を目指して対策する必要がある

OTシステムを運用するうえで、セキュリティ対策は極めて重要です。すでに世界では、OT領域におけるサイバー攻撃の被害が多発しており、OTセキュリティに関する規格やガイドラインの策定・整備が進んでいます。

優れたシステムを運用するだけでは不十分な時代です。十分なセキュリティ対策が施されていなければ、被害を受けて企業全体の信頼失墜にもつながりかねません。企業の信頼性や競争力を高めるためにも、世界的なセキュリティ基準を目指して対策する必要があります。

▼工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインについて詳しくはこちら

▼EUサイバーレジリエンス法について詳しくはこちら

IPA「制御システムのセキュリティリスク分析ガイド　第2版」https://www.ipa.go.jp/security/controlsystem/riskanalysis.html

IPA「産業用制御システム向け侵入検知製品等の導入手引書」https://www.ipa.go.jp/security/controlsystem/icsidshandbook.html

セキュリティ対策を行う部門を設置する必要がある

ITシステムの部門にはセキュリティ担当者がいるのが一般的です。しかし、ITのセキュリティに詳しくとも、OT機器の詳細やシステムの特性まで理解しているケースは決して多くありません。

OTシステムへの外部からの攻撃が国内外で急増する今、セキュリティ対策と運用しているOTシステムのどちらにも精通した担当者が必要になるでしょう。

セキュリティ機器とOT機器の相互関係を考慮しながら運用する必要がある

OT機器の特性を考慮したセキュリティ対策の適用も重要です。単にセキュリティを設置すればよいわけではなく、OT機器との相性を考慮し、細かくチューニングを行う必要があります。

例えば、OT機器の挙動が考慮しないまま、ファイアウォールなどをOTシステムの入口に設置した場合、誤検知などのエラーを引き起こしてしまう可能性があるでしょう。

OTの課題に関するよくある質問

OTの課題に関するよくある質問をまとめました。参考にしてみてください。

Q. OTセキュリティは具体的に何をしたらよいですか？

• A.OTセキュリティを行ううえで重要な観点は、「組織・人」「技術」「プロセス・運用」の3つです。OTセキュリティ対策を主導する部門を明確にし、OTの特性を考慮した対策の適用と、適切な運用の仕組み・体制構築を行いましょう。

Q. OTセキュリティとITセキュリティは同じものではいけないのですか？

• A.社会の重要インフラを支えるOTシステムは停止が難しく、ITシステムのように稼働停止した状態でセキュリティ対策を行うことが困難です。そのため、OTとITを同じセキュリティシステムで対策することは、極めて難しいといえるでしょう。

OTセキュリティの課題を理解して適切な対策を考えよう

近年のDX化、スマートファクトリー化の進展にともない、ITとOTの垣根はなくなってきています。そのため、これまでセキュリティ上の脅威にさらされることがなかったOTシステムにおいても、サイバー攻撃や不正アクセスの危険性が高まってきているのが現状です。

実際に世界ではOTシステムを狙ったセキュリティ事故が発生しており、国際的なガイドラインの整備が進んでいます。今後、企業の信頼性を担保するためにも、OTシステム独自の課題を理解し、適切なセキュリティ対策を行っていく必要があるでしょう。