OTセキュリティ対策に必要な
資産台帳を作成する方法
工場の資産、管理できていますか？

本コラムでは、OTセキュリティ対策の対象となるOTシステムの構成要素を「資産」と呼び、資産を管理するための台帳を「資産台帳」と呼びます。照明や空調、机などのように、工場内に存在していても、OTシステムを構成していない機器や設備は対象外です。ここでは、資産の具体例と、資産台帳の重要性について説明します。

1-1OTシステムにおける資産とは

OTシステムには、どのような資産が存在しているのでしょうか。
大まかに、物理的な資産とデジタル資産の2つに分けられます。

1-2資産台帳を作成する目的

OTシステムの物理的な資産とデジタル資産、さらにネットワークやセグメントの情報を一覧化したものが資産台帳です。資産台帳を作成する目的は、セキュリティリスクの原因を発見し、適切なOTセキュリティ対策を行えるようにすることです。

ただし、物理的な資産、デジタル資産に関する全ての情報を資産台帳に記載するのは膨大な労力がかかるため、現実的ではありません。OTセキュリティ対策における資産管理に必要な項目を選定して、管理しやすい形式の資産台帳を作ることが肝心です。

1-3工場セキュリティガイドラインの遵守にも資産台帳が必要

経済産業省が策定した工場セキュリティガイドラインでは、OTシステムのセキュリティ対策を企画・導入するための最初のステップとして「内外要件（経営層の取組や法令等）や業務、保護対象等の整理」が示されました。その中の「ステップ1-4 保護対象の整理」では、次のように書かれています（※１）。

また、整理した保護対象の重要度付けの考え方については、国際規格等（IEC62443規格群、NIST サイバーセキュリティフレームワーク、経済産業省のIoT セキュリティ・セーフティ・フレームワーク(IoT-SSF)）も参照することが有効であるとされています。

工場セキュリティガイドラインを遵守するためにも、資産台帳を整備し、継続的・効率的に更新していくことが重要です。

（※1） 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」（経済産業省）
「3.1.4 ステップ1-4 保護対象の整理」 https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html

前項では、OTセキュリティ対策における資産管理と資産台帳の重要性を説明しました。しかし、情報処理推進機構が産業サイバーセキュリティセンター3期生69名を対象に行ったアンケート調査では、OTシステムの資産管理を行っていると回答した19組織の大半が、何らかの課題を感じていることが判明しています（※２）。

「制御システムにおける資産管理ガイドライン」（独立行政法人情報処理推進機構）より引用

なぜ、資産管理がうまくいかないのでしょうか。資産台帳の作成・更新には、大きく分けて2つの方法があります。

• 紙の台帳や表計算ソフトを使い、手作業で資産台帳を作成・更新する方法
• 内製やベンダー製品のツールを使う方法

それぞれのメリット・デメリットを明らかにして、資産台帳の作成・更新における問題を考察します。

（※2） 「「制御システムにおける資産管理ガイドライン」（独立行政法人情報処理推進機構） https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2020/ngi93u0000002jlf-att/000083594.pdf

2-1手作業で資産台帳を作成・更新する場合

●メリット

• 手軽に作成できる
• 導入費用がかからない

●デメリット

• 工数がかかる
• 記入ミスや更新漏れが起こりやすい
• 基準が明確でないと記入者ごとにばらつきが出る
• 網羅性・正確性が保証できない

手作業のメリットは、誰もが使い慣れている紙の台帳や表計算ソフトで手軽に資産台帳を作成できて、費用がかからない点です。

デメリットは、「誰が」「いつ」資産台帳を更新するのかルールを決めておかないと、配置変更や新たな機器の導入があった際に更新漏れが起こりやすくなる点です。また、資産台帳に記入する際の基準が明確でないと、記入者ごとに異なる観点で記入してしまうために整合性がとれなくなる可能性が高くなります。

網羅性・正確性が保証できない点にも気を付ける必要があります。例えば、OT部門からの申告に基づいてIT部門が資産台帳を作成する場合、OT部門とIT部門の連携がとれていないと、申告された情報の正確性をIT部門が確認するのは困難です。実際に、「資産台帳はあるけれど、そこに記載されていない端末がOT環境に存在していた」というケースも多くあります。

手作業で資産台帳を作成・更新する場合、資産台帳の内容が実態と一致しない可能性があることが問題です。資産台帳が実態と一致していなければセキュリティリスクを正確に判断できず、適切なOTセキュリティ対策を行うことができません。

2-2ツールを使って作成・更新する場合

ツールを内製する場合と、ベンダー製品を利用する場合があります。共通するメリット・デメリットと、それぞれのメリット・デメリットを理解しておきましょう。

ツールのメリットは、資産台帳の作成・更新にかかる工数を減らせることです。また、自動的に情報を収集することで記入ミスや更新漏れを予防できます。さらに、情報収集や記入の基準が明確になるため、整合性がとれた資産台帳を作成できます。

デメリットは、ツールによっては導入時に機器の設定変更が必要となり、手間がかかる点です。また、ツールによる情報取得はOTシステムの可用性に影響を与えかねないため、注意が必要です。例えば、アクティブスキャンという手法では指定したIPアドレスの範囲に対してパケットを送信し、その応答によって機器や端末の存在を確認します。アクティブスキャンは多くの情報を収集できる一方で、ネットワークの帯域圧迫や機器・端末への負荷の増大を引き起こし、OTシステムの停止やデータ欠損などを引き起こす可能性があります。

ツールを内製する場合のメリットは、自社の資産台帳作成に必要な機能のみに絞り、ベンダー製品よりも使い勝手のよいツールを開発できる点です。

デメリットは、開発に携わる担当者が限定されていて、客観的にチェックする仕組みがない場合、ツールの網羅性・正確性を保証できない点です。また、開発・運用が属人化してしまうと、担当者の退職や異動によってツールのメンテナンスが行われなくなる可能性もあります。

ベンダー製品を利用するメリットは、専門の担当者がいなくても導入できる点です。また、網羅性・正確性が保証されています。

デメリットは、全てのツールがOTシステムの資産台帳作成に最適化されているわけではない点です。ツールによっては取得した情報をさらに分析・加工する必要があるため、出力される項目が多すぎると処理が煩雑になります。

上記で紹介したように、ツールを使ってOTシステムの資産台帳の作成・更新を行うには、さまざまな問題があります。内製とベンダー製品のどちらの場合も、ツールを活用して正確な資産台帳を完成させ、継続的に運用していくのは容易ではありません。

ここまで、資産台帳の作成・管理における問題を見てきました。問題を解決し、資産台帳を活用するには、どのようにしたらよいのでしょうか。次項では、具体的な解決策についてご提案します。

NTTセキュリティ・ジャパンでは、多くのお客様のOTセキュリティ対策を支援してきた経験をもとに、資産台帳を効率的に作成・更新する方法をご提案しています。

3-1OTシステムにおける資産台帳作成の支援に特化したサービスを導入

解決策の一つが、OTシステムの資産台帳を作成するために最適化されたサービスを利用することです。

NTTセキュリティ・ジャパンは、資産台帳作成の支援に特化したサービスとして「OT Network Asset Discovery」をご提供しています。対象となるOTネットワークのパケットキャプチャ（PCAP）を取得して送付するだけで、機器やOSの情報、ネットワーク状況などの資産台帳作成用情報を取得することができるサービスです。機器の設定を変更する範囲が限られているので、OT環境への影響は最小限で済みます。パケットを送信するアクティブスキャンとは異なり、OTシステムの可用性に影響を与えることもありません。

OT Network Asset Discoveryの最大の特徴は、PCAPから得られる膨大なデータを精査し、OTシステムの資産台帳に必要な情報に絞って出力する点です。取得したデータは、赤、黄、緑、白の４色で色分けされて、以下のように、確認の要・不要がひと目でわかるようになっているため、効率的に資産台帳を作成できます。

• 赤：値の妥当性を確認する必要があるもの
• 黄：値の妥当性の確認が推奨されるもの
• 緑：可能なら値の妥当性を確認したほうがよいもの
• 白：確認が必要な情報や事実が得られなかったもの

余分な機能を省いたミニマム設計により、スピードアップと導入コスト低減も実現しました。NTTセキュリティ・ジャパンでPCAPを受領してから資産台帳作成用情報を送付するまでの期間はおよそ5営業日。早急に資産台帳を作成する必要がある場合にも安心してご利用いただけます。

OT Network Asset Discoveryで出力される項目をご覧いただけるように、データサンプルをご用意しています。詳しく知りたい方はぜひダウンロードしてください。

3-2作成した資産台帳をOTセキュリティ対策に活用

OT Network Asset Discoveryによって出力されるのは、資産台帳作成のもとになる情報です。出力されたデータを表計算ソフトなどで加工し、資産ごとに分類や管理者、用途、導入時期、重要度などの必要事項を追加することで資産台帳が完成します。項目の追加に当たっては、お客様ご自身による目視確認や、機器・端末の納入仕様書の調査などが必要となる場合があります。

資産台帳の作成は、OTセキュリティ対策のスタート地点です。どのようなセキュリティリスクが存在しているか、どのような対策を行うべきか、資産台帳をもとに判断するのはお客様ご自身です。判断に迷う場合は、OTセキュリティ対策の専門家に相談する方法もあります。NTTセキュリティ・ジャパンでは、専門家がセキュリティリスクを評価し、OTセキュリティ対策の立案を支援するサービスもご提供しています。必要に応じて専門家の支援も受けながら、資産台帳を活用していきましょう。

本コラムの前半では、OTセキュリティ対策において資産台帳が求められる理由と、資産台帳を作成・更新する上でどのような問題があるのか説明しました。後半では、資産台帳に関する問題を解決して、OTセキュリティ対策を進めるための効果的な方法について解説しました。
NTTセキュリティ・ジャパンがご提供する資産台帳作成支援サービス「OT Network Asset Discovery」で取得できるデータサンプルを、こちらからダウンロードしていただけます。

NTTセキュリティ・ジャパンでは、OTセキュリティ専門のアナリストやコンサルタントによる支援もご提供しています。「資産台帳を作成したものの、次の一手がわからないのでアドバイスが欲しい」、「資産台帳をもとに、専門家の知見を取り入れて、技術面・運用面でOTセキュリティ対策を立案したい」といったご要望がありましたらご相談ください。御社に最適なサービスをご提案します。