「OTシステムの監視画面なら毎日見ているし、現状把握はできている」と思うかもしれません。しかし、OTシステムの全ての機器や端末について、使用しているOSやソフトウェア、ネットワーク構成などを把握し、どこにどのようなセキュリティリスクがあるのか評価できているでしょうか。
本コラムは、全3回にわたってOTセキュリティ対策の基本を解説するシリーズの第2回です。第1回ではOTセキュリティ対策が求められる理由と、NTTセキュリティ・ジャパンが考えるOTセキュリティ対策の3ステップを紹介しました。
第1回の記事はこちらからご覧いただけます。
第1回:OTセキュリティ対策、何から始めてどう進めるべきか? 3ステップで解説
今回は、自社のOTシステムにどのようなセキュリティリスクがあるかを知りたいと考えている方向けに、STEP1「現状把握と評価」について詳しく解説します。
近年は工場でもDX化の取り組みが活発です。生産ラインを自動化・効率化するスマートファクトリー構想により、OTシステムをITシステムや外部ネットワークに接続してデータ収集・分析を行うことが増えました。
これまで工場内で完結していたOTシステムを他システムに連携すると、どのような問題が発生するのでしょうか。OTシステムの現状把握と評価が必要な理由を考察します。
OOTシステムにおける現状把握と評価の必要性
1-1. OTシステムと他システムが連携する場合に発生し得る問題
事例1 OTシステムとITシステムの連携が困難で、DX化が停滞
スマートファクトリー化に取り組むA社では、工場における生産自動化後に、全工場のデータを統合して分析・可視化を行う環境を構築する計画が立ち上がりました。計画を遂行するためにはOTシステムとITシステムを連携させ、ITシステムにデータを集約する必要があります。
しかしA社は、ITセキュリティ対策は進んでいるものの、これまでOTセキュリティ対策には注力してきませんでした。そのため、OTセキュリティに関するポリシーを策定しておらず、OTシステムの現状把握も十分にできていません。
IT部門では、「安全性が担保されていないOTシステムのデータをITシステムに集約したら、不正侵入やマルウェア感染のリスクがあるのではないか」と懸念する声が上がりました。ITシステムとの連携が進まず、全工場のデータ分析と可視化を行う計画に遅れが生じてしまったのです。
事例2 OSの不具合への対応が遅れ、ITシステム経由でサイバー攻撃を受けるリスクが増加
B社は、ITシステムとOTシステムを連携させ、データのやり取りを行っています。あるとき、ITシステムで利用しているOSに重大な不具合があると公表されたため、緊急でセキュリティパッチを適用。OTシステムの担当者も、同じOSを利用している機器や端末の対応を行うようにと指示を受けました。
OTシステムでは機器や端末を停止させると工場の操業に影響が出るため、全ての機器や端末にセキュリティパッチをすぐ適用できるわけではありません。緊急時にセキュリティパッチを適用できない機器や端末は、ネットワークを分けることで対応する方法もあります。
しかし、OTシステムの担当者はOT環境のどこにどのような機器や端末があって、どのようなOSがインストールされているのかといったことを把握しきれていませんでした。また、ネットワーク構成の実態も認識していなかったのです。セキュリティパッチを適用すべきなのか、ネットワークを分けるべきなのか、迅速に判断できなかったため、OSの不具合への対応が遅れました。
1-2. 現状把握と評価によって、問題の発生を防ぐことが重要
前項の<事例1>や<事例2>のような問題は、OTシステムの現状把握と評価を適切に行っていれば回避できたはずです。
第1回の記事では、OTシステムへのサイバー攻撃のリスクが増大し、OTセキュリティ対策が必須となっていることをお伝えしました。OTセキュリティ対策に取り組むためにまず必要なのが、現状把握と評価です。現状のOTシステムにおける脆弱性を把握し、どこにどのようなセキュリティリスクがあるのか評価することで、効果的なOTセキュリティ対策を立案できるようになります。本コラムでは、システムやソフトウェアの不具合だけでなく、業務プロセスや組織の問題も含めたセキュリティ上の弱点を脆弱性と定義します。
また、現状把握と評価によってOTセキュリティ対策の優先度を決めることも重要です。経済産業省が策定した工場セキュリティガイドラインには、「セキュリティ対策を行う度合い」として、次のように書かれています(※1)。
「セキュリティ対策を行う度合いは、これらの基準などを参考に、業界・個社の置かれた状況に応じ、各者にて定義することが必要である。現在の状況と、世の中の規格やガイドラインなどの状況との差を考慮しながら、実施できるような水準を定義することがポイントとなる。」
文中の「これらの基準」とは
代表的なセキュリティ対策評価基準である以下の3つです。
・IEC 62443 規格群におけるセキュリティレベル
・NIST の「サイバーセキュリティフレームワーク」における評価基準
・経済産業省の「IoT セキュリティ・セーフティ・フレームワーク(IoT-SSF)」
機器や端末の重要度、評価したセキュリティリスクの大きさなどを考慮することで、優先的に取り組むべきOTセキュリティ対策を判断できるようになります。
(※1)「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」(経済産業省)
「付録C 関係文書におけるセキュリティ対策レベルの考え方」https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
現状把握と評価を行う2つの方法
2-1. ネットワーク調査、ヒアリング調査のどちらでもアプローチ可能
現状把握と評価には、2つの方法があります。1つ目は、ネットワーク上のトラフィックを分析する方法。2つ目は、OTシステム関係者へのヒアリングに基づいて調査を行う方法です。
<ネットワーク調査(トラフィック分析)>
●手順
- OTネットワーク上のトラフィックを分析して、工場内の資産(機器や端末、OSやソフトウェア、ネットワーク)の現状を把握
- どのような脆弱性が存在しているかを可視化
- 脆弱性からセキュリティリスクを評価
●メリット
効率的に情報を収集し、客観的な結果を得られる
●デメリット
全ての情報を収集できるとは限らない。例えば、電源が入っていない機器や、ネットワークに接続されていない機器を発見できない場合がある
<ヒアリング調査>
●手順
- OTシステムの関係者を対象に、OTセキュリティに関する認識や、現在感じている課題についてヒアリング
- 現状のセキュリティポリシーや、OTシステムの構成要素を一覧化した資産台帳などの資料を収集
- (1)と(2)で集めた情報を分析して、総合的に現状を把握
- 工場セキュリティガイドラインや国際標準への適合状況を確認して、セキュリティリスクを評価
●メリット
運用体制についての課題も確認できる
●デメリット
主観的な意見が含まれる。また、全ての関係者にヒアリングできるとは限らないため、情報が偏る可能性がある
ネットワーク調査とヒアリング調査は単体で実施することもできます。より綿密な調査を行うには、両方を組み合わせると効果的です。調査結果を補完し合うことで、漏れのない現状把握と評価が可能になります。
2-2. 社内リソースのみで対応可能か見極めが必要
ネットワーク調査とヒアリング調査に関して、社内のリソースで実施しようと考えている方も多いことでしょう。しかし、OTセキュリティを専門とする担当者がいない場合、社内リソースのみで対応するのは簡単ではありません。その理由について解説します。
ネットワーク調査が難しい理由
無償または有償のパケットキャプチャ(PCAP)解析ツールや脆弱性スキャンツールなどを利用すれば、調査を行うことはできます。ただし、ツールの種類によってはOTシステムの停止やデータ欠損などを引き起こし、可用性に影響を与える可能性もあるため、選定の際に注意しなくてはいけません。ツールの特徴を理解して使いこなすには専門知識が必要です。
ヒアリング調査が難しい理由
OTセキュリティの専門知識が不十分な状態でヒアリングを行うと、適切な質問ができず、重要な課題を見落としてしまう可能性があります。また、ヒアリング調査の知見が少ないと、主観的な意見や情報の偏りを補正して調査結果をまとめるのは困難です。
では、社内リソースのみで現状把握と評価を行うのが難しい場合は、どのようにしたらよいのでしょうか。解決策の一つが、OTセキュリティを専門とする企業のサービスを利用することです。低コストで簡易にOTシステムの現状を把握できるサービスもあります。
OTセキュリティの専門企業では、所属しているアナリストやコンサルタントが現状把握と評価を行うサービスも提供していることがほとんどです。アナリストはネットワーク調査を中心に、コンサルタントはヒアリング調査を中心に行います。専門家に依頼するメリットは、以下の通りです。
専門家に依頼するメリット
- 専門家の知見に基づき、より的確な現状把握と評価が可能になる
- 社内の関係者が見過ごしていたセキュリティリスクが、外部からの視点で明らかになる
- OTセキュリティ対策を効果的に進めるためのアドバイスや、具体的な改善計画に関する支援を受けられる
社内リソースだけで現状把握と評価を実施するのは難しいと感じたら、専門家に支援を求めることも検討してみてはいかがでしょうか。
現状把握で見つかる脆弱性と、そこから判断されるセキュリティリスク
3-1. 機器や端末に関する脆弱性とセキュリティリスク
<発見される脆弱性の例>
●OTシステムの機器や端末を管理している資産台帳が実態と合っていない
- 個人のPCやスマートフォンが許可なくOT環境で使用されていた
- 外部の業者が持ち込んでいる端末を把握していなかった
- 資産台帳に記載されていない保守端末(常時非接続)が見つかった
- 資産台帳が適切に更新されていないため、誰がいつ、何の目的で導入したのかわからない機器や端末があった
●USBメモリを管理できていない
- 外部から持ち込んだUSBメモリが、ウイルススキャンを行わずにOT環境で使用されていた
<機器や端末に関する脆弱性によって引き起こされるセキュリティリスク>
- 適切に管理されていない機器や、外部から持ち込まれた端末が不正侵入の入り口となる可能性がある
- USBメモリ内のファイルがマルウェアに感染していた場合、OT環境にマルウェアの感染が拡大する
3-2. OSやソフトウェアに関する脆弱性とセキュリティリスク
<発見される脆弱性の例>
●バージョンアップやセキュリティパッチの適用が適切に行われていない
- Windows7やWindows2000など、サポートが終了したOSを使っていた
- OSやソフトウェアにセキュリティパッチを適用していなかった
●ソフトウェアを管理できていない
- IT部門が把握していないソフトウェアがインストールされていた
<OSやソフトウェアに関する脆弱性によって引き起こされるセキュリティリスク>
- 脆弱性を悪用したサイバー攻撃を受ける可能性がある
- 信頼性の低いソフトウェアにはマルウェアが含まれている可能性がある
3-3. ネットワークに関する脆弱性とセキュリティリスク
<発見される脆弱性の例>
●セグメンテーションとアクセス制御ができていない
- OTネットワークとITネットワークが分離されていなかった
- OTネットワーク内の細かなセグメンテーションができていなかった
- OTネットワークとITネットワークの間で直接アクセスが行われていた
- 必要な通信かどうかを判断せず、全ての通信がセグメント間を通過していた
<ネットワークに関する脆弱性によって引き起こされるセキュリティリスク>
- ITネットワークからのマルウェア侵入を防げない
- OTネットワークのどこかでマルウェア感染が起こった場合、全域に感染が拡大する
ネットワーク調査やヒアリング調査を実施することで、自社のOTシステムに存在する脆弱性を把握し、セキュリティリスクを評価できます。セキュリティリスクを解消するために必要な対策を絞り込んだら、STEP2「脅威の侵入や拡散の防止」へと進みます。
ただし、現状把握と評価は一度実施するだけで終わりではありません。生産ラインの変更などによってOTシステムの構成要素は変化するため、STEP2に進んだ後もSTEP1を並行して行い、現状把握と評価を継続していく必要があります。
NTTセキュリティ・ジャパンは、低コストで現状把握と評価を行える資産台帳作成支援サービスから、専門のアナリストやコンサルタントが一社ごとにカスタマイズした現状把握と評価を行うサービスまで、幅広くご提供しています。現状把握と評価に取り組みたいとお考えなら、ぜひお問い合わせください。
まとめ
本コラムの前半では、OTシステムにおける現状把握と評価の必要性について説明しました。後半では、「現状把握と評価とは具体的に何をすればよいのか?」とお悩みの方に向けて、ネットワーク調査とヒアリング調査という2つの方法と、発見される脆弱性の例、脆弱性によって引き起こされるセキュリティリスクについて解説しました。
現状把握と評価を素早く安価に始められる方法としてNTTセキュリティ・ジャパンがおすすめしているのが、ネットワーク調査による資産台帳作成の支援に特化したサービス「OT Network Asset Discovery」です。詳しく知りたい方は、第3回の記事をお読みいただくか、今すぐお問い合わせください。
