ホーム  >  IT / OT / セキュリティ

社会インフラを陰で支えるOTの進化とセキュリティ課題を考える

公開日

最終更新日

投稿者

産業の現場では、効率的かつ安全な運用を実現するために制御技術が欠かせない。現場で稼働する機械やシステムの自動制御などに関与する分野は、一般にオペレーショナルテクノロジーと呼ばれている。この分野は工場や発電施設、鉄道、ビルの設備管理、上下水道、医療機器の制御など、多岐にわたるインフラ支援を担っている。こうした領域の重要性は、経済や社会機能を陰で支える基盤を担っている点に集約される。しかし、インフラを構成するオペレーショナルテクノロジーがインターネットなどのネットワークに接続されて運用されるようになると、サイバー空間からのさまざまな脅威に晒されることとなった。

古くは物理的な隔離(エアギャップ)によってセキュリティが守られていたが、遠隔監視やメンテナンス効率化のニーズにより、企業内・場合によっては外部ネットワークと接続するケースが増加している。オペレーショナルテクノロジーとは、工場やプラント、ビルなどで使用される産業用制御システムそのものであり、センサー、コントローラー、アクチュエーター等のハードウェアと、その制御や監視を担うソフトウェア、通信ネットワークから成る。温度や圧力、風力、水位などの値をリアルタイムで取得し、安定的に装置を動かしていく必要があるため、一瞬でも制御が失われれば、製造ラインの停止や電力供給の途絶、交通システムの混乱など致命的な障害につながりかねない。これだけ重要なインフラを守るには、通常の情報システムとは異なる独特のセキュリティの発想が必要となる。オペレーショナルテクノロジー本来の設計思想は、安全・可用性・長期間の安定運用を最優先するものである。

このため、一般的なパソコンやサーバーに比べて、新しいソフトウェア更新や脆弱性のパッチ適用が難しい傾向がある。機器の入れ替えや停止には巨額のコストとリスクが伴うため、数十年前に導入したシステムが現在も現役で稼働し続けている状況も珍しくはない。しかし技術の変化に伴い、標準プロトコルや共有ネットワークを利用せざるを得なくなってきており、そこに目をつけた不正アクセスやマルウェア感染が大きな脅威となる。実運用では、計画的な停止期間中にしかメンテナンスや更新ができず、セキュリティ対策の遅れが深刻なインシデントにつながる場合もある。制御システムを狙った攻撃事例も国内外で報告されている。

組織の基幹となる電力設備や上下水道が標的となったケースでは、サービス停止など社会的な混乱が実際に発生した。また、遠隔操作による誤動作や重要情報の改ざんが行われたこともある。これらの攻撃の多くは、オペレーショナルテクノロジー機器の特性や脆弱性につけ込んでいた。そもそも制御技術は、閉じられた環境で使われることを前提に設計されていたため、パスワード設定や認証機能、通信の暗号化が不十分だったり、監視・記録の仕組みが存在しないなどの課題が並存してきた。このようなリスクに対応するためには、ネットワーク構造の見直しや監視体制の強化、設計段階からの防御的なアプローチが求められている。

従来、情報システムと制御システムは別々の領域として運用されてきたが、これによりお互いの事情を理解しにくい側面もあった。たとえば、サイバー攻撃の検知や企業内ネットワークとの連携、ソフトウェアアップデート手順の最適化など、IT分野で培われたノウハウを制御技術環境にも取り入れる必要が生じるようになった。情報システムで行われている侵入検知や不正通信の監視、アクセス制御といった基本施策も、オペレーショナルテクノロジー向けに再設計し適用する動きが活発化している。一方で、インフラ制御の分野には、その重要性ゆえに高い安全基準や長時間停止できない稼働要件が伴う。このため、全ての方法をただちに取り入れることは難しい例が目立つ。

そこで現場ごとの特性に応じ、段階的な対策導入や、安全を最優先にした冗長構成の設計、障害時でも重要な機能だけを維持するフェールセーフ機構の導入など、複層的なセキュリティ対策が不可欠である。様々なインフラを支えるこれらの制御技術環境においては、人材の教育や運用品質の維持も大きなテーマとなっている。長年の現場ノウハウとともに、サイバーセキュリティの知見も融合させ、製造や保守業務に関わる全ての関係者が新しいリスクを意識し協力し合うことも総合的対策の鍵となる。機械や設備の自動化がいっそう進む現在、社会の根幹を維持するインフラとともに、そこで使用されるオペレーショナルテクノロジーの持続的な発展と、そのセキュリティの強化への投資が喫緊の課題となっている。これらの対応を疎かにすれば、都市の機能不全や経済活動の停滞など広範な影響が及ぶことも想定される。

今後ますます高度化・複雑化するインフラ管理の時代にあっては、OTに対する専門性を備えた人材の育成と、組織横断的な協力体制づくりが重要となるだろう。産業現場を支える制御技術、すなわちオペレーショナルテクノロジー(OT)は、工場や発電所、交通インフラなど多くの分野で重要な役割を担っている。従来、OTは物理的に外部と隔離されていたが、近年はネットワークを通じて遠隔監視や運用効率の向上が図られるようになり、サイバー攻撃のリスクが大幅に増大している。OTはシステムの安定運用や安全性を重視して設計されており、ソフトウェア更新やパッチ適用が難しいため、セキュリティ対策が後手に回りやすいという課題がある。現実には、国内外で制御システムを標的とした攻撃が発生しており、電力や上下水道など社会基盤を揺るがす被害が現れている。

その背景には、十分な認証や暗号化、監視機構が不十分なOT特有の脆弱性が存在する。今後はネットワーク構成や監視体制の見直し、ITのノウハウをOTへ適用するなど総合的な対策が不可欠である一方、インフラの特性上、単純にITの方法論を持ち込むだけでは難しい。リスク低減のためには段階的な対策導入や冗長構成、フェールセーフ機構など多層的な体制が求められる。また、現場ノウハウとサイバーセキュリティの知見を融合し、関係者が連携してリスクに備えることが重要だ。ますます自動化・高度化するインフラを守るため、OT分野の専門人材育成と組織横断的な協力体制が今後の大きな課題である。

カテゴリー:ITOTセキュリティ

タグ:

Abbacchio

関連投稿