- TOP
- OTセキュリティ マガジン
- OTセキュリティのインシデント:サイバー攻撃で工場が数日間生産停止
ケーススタディ:
管理外端末がサイバー攻撃を受け、工場の生産が停止
〜製造業におけるOTセキュリティのインシデントと対応策〜
近年では工場のDX化が推進され、OTシステムと情報システム(IT)の連携や、OTシステムにおけるクラウドサービスの利用が増えています。また、リモートワークの浸透により、OTシステムでもリモート接続による保守作業が行われるようになりました。このように、OT環境が外部に向けて開かれるようになったことで、工場におけるサイバー攻撃のリスクが増大しています。しかし、ITセキュリティ対策と比較すると、OTセキュリティ対策は進んでいない企業が多いのが実情です。
OTセキュリティ対策が進まない企業では、以下のように、「組織・運用」と「技術」の両面において課題を感じているケースが多いのではないでしょうか。
<組織・運用面の課題>
- IT部門とOT部門の連携
- インシデント対応のための体制構築
- 工場の実態に合ったセキュリティポリシーの策定
- アクセス権の管理
- 持ち込まれる外部媒体のチェック
<技術面の課題>
- 資産管理
- セキュリティパッチの適用
- OT/ITネットワーク間の通信の管理
- ログ監視
- 物理的なゾーン分け(入退室管理)
今回は以下の課題を取り上げ、ある製造業の企業で起こったOTセキュリティのインシデントと、その対応策について解説します。
- 組織・運用面の課題「工場の実態に合ったセキュリティポリシーの策定」
- 技術面の課題「資産管理」
目次
1海外にも事業を展開している製造業A社で起こったインシデントとその原因
1-1どのようなインシデントが起こったのか
国内外に複数の拠点や工場を持つA社。過去に、1台のPCがランサムウェアに感染し、グローバルネットワークを通じて国内外の拠点に感染が拡大した経験があります。その際には事務用PCだけでなく工場のPCも一部が停止し、国内の1工場が1日生産を停止する事態となりました。
この時の反省からA社が取り組んだのが、以下の対策です。
- 全社的なITセキュリティポリシーをOT部門にも適用することとした。
- 資産の総点検を行い、セキュリティパッチ適用やウイルス対策ソフトの導入を実施した。
- セキュリティポリシーに基づいて工場の資産台帳を作成し、更新していることを定期的に確認するようにした。
それにもかかわらず、数年後に再び、サイバー攻撃によるインシデントが発生しました。
この時、海外拠点の端末が攻撃対象になったことで、グローバルネットワークを管理する中枢サーバーがランサムウェアに感染。海外だけでなく国内の拠点にも被害が拡大し、事務用PCや工場のPCが暗号化されて使えなくなりました。
その結果、海外にある複数の工場で生産が停止しました。特に影響の大きかった工場では、数日間にわたって生産を停止せざるを得ませんでした。国内では生産を支援するシステムが使えなくなり、手作業で代替することになったため、業務が停滞。国内工場の一部で、出荷を一時停止しました。完全に復旧するまでには、約2週間という長い期間が必要でした。
| サイバー攻撃の種類 | ランサムウェア | |
|---|---|---|
| 影響範囲 | 日本国内および海外 | |
| 業務への影響 | 海外 | 工場生産停止(数時間〜数日間) |
| 国内 | 生産支援業務の停滞、出荷停止 | |
| 復旧までの時間 | 約2週間 | |
なぜこのような攻撃を受けてしまったのでしょうか。
A社では最初のインシデント発生時にOTセキュリティ対策を強化したと考えていたのですが、実は課題が残っていました。
1-2A社が抱えていたOTセキュリティの課題
セキュリティポリシーの課題
A社は全社的なITセキュリティポリシーをOTシステムにも適用するように通達しましたが、工場の現場にはポリシーが浸透していませんでした。なぜなら、可用性を最も重視するOTシステムでは、ポリシー通りの対策を実施するには大きな手間がかかるためです。セキュリティパッチの適用によってOTシステムの可用性を損なわないか調査するだけでも約1年半かかりました。一度は実施したものの、その後は運用しきれなかったのが実情でした。
資産管理の課題
OTシステムの管理者は各工場の担当者から、「工場の資産を管理する台帳を作成し、更新している」との報告を受けていました。しかし、工場の機器や端末は頻繁に入れ替わります。資産の数が多い工場では、資産台帳と実際の資産を照らし合わせるには時間がかかるため、台帳の記録と実情にずれが生じ、適切に管理されていない端末が存在していたことがわかりました。2回目のサイバー攻撃においてセキュリティホールとなったのは、こうした管理外端末だったと考えられています。
2A社がインシデント後に実施した施策
2回目のランサムウェアの被害から復旧した後、A社はOTセキュリティ対策の見直しを始めました。取り組みの一部を紹介します。
資産の可視化
管理外端末がサイバー攻撃の入り口となったことから、工場資産の可視化を早急に行う必要があると判断したA社は、OTネットワークのパケットキャプチャ(PCAP)を解析しました。PCAPからは機器やOSの情報、ネットワーク状況を知ることが可能です。PCAPの解析で得られた工場資産のリストを利用することで、既存の資産台帳との突き合わせにかかる時間を大幅に短縮。資産台帳を最新化して、管理外端末から侵入されるリスクを低減することができました。
また、各端末にどのような脆弱性があるのか明らかになったため、セキュリティパッチ適用やウイルス対策ソフト導入などの対応を効率的に行いました。
さらに、OTネットワークを流れる通信の状況が可視化されたことで、ルール外の通信が行われていることを発見。原因を突き止め、是正することができました。
セキュリティポリシーの更新
A社では、セキュリティポリシーの見直しも検討中です。これまではITセキュリティポリシーをOTシステムにも適用していましたが、工場の実態に合うように、OTシステム独自のポリシーを作成しようとしています。参考にしているのは、IEC 62443規格群をはじめとする国際標準や、経済産業省が策定した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(工場セキュリティガイドライン)」です。
3NTTセキュリティ・ジャパンが提供できるソリューション
ここまで、A社で起こったインシデントを例に、製造業におけるOTセキュリティの課題と対応策について解説してきました。では、同じ課題を抱えている企業は、具体的に何から始めればよいのでしょうか。
資産の可視化やセキュリティポリシーの見直しを効率的かつ効果的に行うには、OTセキュリティの専門知識が必要です。社内にOTセキュリティの専門家がいない場合は、外部の専門家に依頼することも検討しましょう。
NTTセキュリティ・ジャパンは20年にわたり、幅広い業種のお客様のOTセキュリティ対策を支援してきました。その知見を元に、他の企業のケースと比較しながら、有効な改善策をアドバイスすることが可能です。お客様のビジネスの状況やニーズに合わせて、その時々で最適なソリューションをご提供します。
本コラムで取り上げたOTセキュリティの課題に対して、NTTセキュリティ・ジャパンがどのようなソリューションを提供できるのか、ご紹介します。
資産管理の課題に対するソリューション:OTネットワーク可視化サービス
専門のアナリストがPCAPを解析し、OTネットワーク内の資産や通信を可視化。機器や端末に脆弱性がないか、不審な通信が行われていないかを把握し、レポートを作成します。また、セキュリティリスクに対する改善策をご提案します。
セキュリティポリシーの課題に対するソリューション:OTセキュリティアセスメント
専門のコンサルタントが、現状のセキュリティポリシーと国際標準や工場セキュリティガイドラインとのギャップ分析・評価を実施します。必要に応じてOTシステム関係者へのヒアリングも行い、セキュリティポリシーが現場の実態に合っているかも評価します。分析結果を元に、セキュリティポリシーの更新・作成を支援します。
OTネットワーク可視化サービスは技術面、OTセキュリティアセスメントは運用面から現状把握と評価を行うソリューションです。OTセキュリティ対策の第一歩となる現状把握と評価については、以下の記事で詳しく解説しています。
OTセキュリティ対策は「現状把握と評価」から工場の制御システムの弱点を見逃していませんか?
4まとめ
本コラムでは、以下の課題を抱えていた製造業A社を例に、発生したインシデントとその対応策について解説しました。
- 組織・運用面の課題「工場の実態に合ったセキュリティポリシーの策定」
- 技術面の課題「資産管理」
また、それらの課題に対してNTTセキュリティ・ジャパンがご提供できるソリューションについても説明しました。
「自社のOTシステムでも、同じようなインシデントが起こる可能性はないだろうか」と感じたら、NTTセキュリティ・ジャパンが提供する「OTセキュリティ簡易診断」を受けてみることをおすすめします。Web上で質問に回答すると、AからDまでの4段階で診断結果が表示され、どこにセキュリティリスクがあるのか一目でわかるようになっています。
約15分で現状をチェック!診断は無料です
「簡易診断の結果から、次の一手を知りたい」というお客様には、NTTセキュリティ・ジャパンがより詳しい現状把握と評価を行い、課題解決まで伴走します。ぜひ、お問い合わせください。
OTセキュリティ対策に向けてご提供しているサービスをご紹介しています
