工場の「見えない資産」が
セキュリティリスクに？
セキュリティ対策の第一歩は資産台帳の作成から

OT環境における資産の可視化が難しい理由は、大きく分けて以下の3点です。

1. 設備・機器の種類が多く、古い
PLC（Programmable Logic Controller）、DCS（Distributed Control System）、生産機械、センサー、産業用スイッチなど、OT環境には多くの機器があります。また、工場では長期にわたって機器・設備を使用することが多いため、導入してから10-20年以上、経過しているケースもあります。その場合、導入時の情報がすぐには見つからないことも多く、資産の把握には時間がかかります。種類も多く、古い機器が多いというのが工場内の資産の把握を難しくしています。

2. 台帳と現場の乖離
工場では台帳を作成して、資産を把握できるようにしているケースもありますが、機器の導入・廃棄・工事の際に、常に更新をしなくてはいけないことから、実態と台帳が大きく乖離していることも多いです。また、古い機器に関する情報はベテラン社員だけが把握しているといったケースもあり、台帳に情報が反映されていないことがあります。

3. 現場への負荷
資産を洗い出すには実際の現場で配線や接続先を確認するなど、手間と時間のかかる作業が必要となります。この作業は現場社員には大きな負荷がかかると共に確認すべき情報が多いため、抜け漏れも発生しやすくなります。ある企業では、資産の把握に多大な労力を費やしたものの、時間的な制限からIPアドレス・MACアドレスなどの必要な情報を資産台帳に含めることが出来なかったケースもあります。また、資産台帳が出来上がった際にはすでに情報が陳腐化していたということも多々あります。

資産を可視化していないと、セキュリティインシデント発生時の対応が極めて困難になります。
「マルウェアの感染元を特定できない」
「影響範囲を迅速に調査・特定できない」
「何が原因か分からないため、再発防止策を立てられない」
これらは、資産情報を正確に把握できていないために起こる問題です。
把握できていない資産を守ることはできません。

資産の可視化が難しいという課題に対して有効なのが、ツールを使って自動で資産を検出する方法です。

OT-IDS等の可視化ツールによる資産可視化
工場ネットワーク内にOT-IDS等の可視化ツールを設置の上、通信をミラーリングすることでパッシブ監視を行い、通信の内容から機器情報を調査する方法があります。この手法では、工場の機器に負荷をかけることなく、IPアドレス、MACアドレス、プロトコル、通信元・通信先などの詳細情報を取得できます。工場内に可視化ツールを設置した場合では、一度だけの可視化で終了するのではなく、常に最新の情報を取得できるようになります。定期的な確認を行うことで、資産情報の追加・削除・変更をリアルタイムで検出できます。また、資産の脆弱性情報も把握することが出来るため、どの機器がリスクを抱えているかを即座に可視化できます。しかし、こうした可視化ツールは導入費用・ライセンス費用共に高額なものが多く、導入できる企業は多くないのが実情です。また、工場内に設置することは常に最新情報を取得できるメリットもありますが、導入のための負担も大きく、工場側の理解も必要となります。導入までに数年の歳月を要することも少なくありません。

こうした課題を踏まえ、NTTセキュリティ・ジャパンでは、資産情報の把握のために資産台帳の作成サービスを提供しております。
余分な機能を省き、素早く安価にセキュリティの第一歩である資産台帳を提供
IPAの「制御システムにおける資産管理ガイドライン」に準拠した資産項目を出力
お客様から当社にPCAP（パケットキャプチャ）を取得・送付するだけ
お客様によるPCAP取得が難しい場合には、取得の支援や取得ツールの貸与も実施

最後に
工場の資産台帳を最後に更新したのはいつでしょうか。情報は古くなっていないでしょうか。抜け漏れはないでしょうか。もし不安があるなら資産台帳を見直してみることをおススメします。見えるからこそ守れる。それが工場資産です。是非、OTセキュリティ対策の初めの一歩を踏み出しましょう。