工場のセキュリティ対策：
工場でのIDS運用における課題と解決策について解説します

【問題点】

OT-IDSを導入した後は、企業は自分たちで使いこなしながら運用していく必要があります。その中で最初に直面する課題がOT-IDSの操作についてです。工場への設置やパラメーターの設定などをベンダーが実施した場合、導入した企業は運用フェーズに入るまで機器をほぼ触ったことが無いというケースが多く、ベンダーから受け渡しされてはじめて上手く操作できないという問題に気づくことになります。また、OT-IDSは現場の作業者には馴染みが薄いUIになっていることもあり、アラートの詳細、ログの分析など、操作方法や画面遷移が分かりにくいことから、上手く使いこなせないケースがあります。

【解決策】

OT-IDSの操作を学ぶため、操作説明・トレーニングを受け、基本的な操作方法、アラートの確認方法を把握することが重要です。ベンダーに操作説明会を実施してもらい、実際に機器を運用する社員が参加して運用のイメージを持つようにしましょう。また、簡易操作ガイドやハンドブックを作成しておくと、よりスムーズに運用に移行することが出来ます。

【問題点】

導入後、すぐにアラートが発生しますが、担当者がアラートを検知しても、どこにどのような手段で通知するか決まっていないケースも多いです。また、大量のアラートを放置しておくと保存可能な容量の上限を超えてしまうこともあります。その場合、古いアラートから自動的に消えていってしまうことから、重要なアラートを見逃す可能性も出てきます。危険性の高いアラートの場合、初動対応が遅れると被害が拡大する可能性も高いため、即座に対応できるような体制整備が急務となります。

【解決策】

導入後、1~3か月程度の期間で発生したアラートの内容を調査し、次回以降にアラートを検知した際の通知方法や通知先・対応依頼の内容などを事前に決めておくと良いでしょう。例えば、アラートの危険度に応じて以下のような方法が考えられます：
危険度（低）：通知しない
危険度（中）：現場の担当者にメールで通知して、状況調査を依頼
危険度（高）：管理責任者に直接対面で状況を報告
さらに、SIEMに連携させることで、アラート通知を記録・共有しSOCで監視することが出来れば理想的です。

【問題点】

危険度の高いアラートが実際にインシデントにつながるようなサイバー攻撃だった場合、対応方法、報告の仕方等を決めておかないと経済的・物理的な被害が拡大してしまいます。

【解決策】

OTセキュリティ・インシデントに対する対応手順書として以下の内容の文書を作成しておきましょう。
インシデントの重大度分類（レベル1～3など）
初動対応の担当部門と役割
影響範囲の確認手順（通信先、装置種別など）
社内エスカレーションフロー
外部関係者（顧客・関連省庁）への報告の仕方
ニュースリリース
復旧手順とインシデントの記録フォーマット
加えて、年に1回程度は机上演習や実地訓練を行い、体制が有効に機能するかを検証することが望まれます。

OT-IDSを適切に導入・運用していくことで、サイバー攻撃や重大インシデントに繋がる兆候を早い段階で検知し、被害拡大を抑えることができます。誰が操作するか、アラートへの対応方法をどうするか、インシデント発生時に何をするか等、OT-IDSの運用設計を丁寧に行いましょう。適切に運用することで、OT-IDSはサイバーインシデントに対応するための強力なツールとなります。NTTセキュリティジャパンでは、OT-IDS導入後、数ヶ月にわたってお客様と一緒に運用しながら各種のアラートへの対応を整えていく、OT-IDS運用支援サービスを準備しています。