【実践対策ソリューション】

「セキュリティリスク＝ビジネスリスク」 実効性のあるOTセキュリティ対策の進め方

1．はじめに

我々フォーティネット（以下，当社）はネットワークセキュリティ企業としてすべての人々やデバイス，データを守りぬくことをミッションとしている。2000年に米国カリフォルニア州で創業して以来，持続可能な経営と安心して過ごせる社会の実現を目指して，世界各国56万5,000社以上のユーザにセキュリティソリューションを開発・提供し続けている。我々のセキュリティソリューションは業界最多，ファイアウォール／次世代ファイアウォール（NGFW）の出荷台数は国内でも50%以上の導入シェアを誇り，最多の特許を取得している。

既知の通り，サイバー攻撃は国内外を問わず加速度的にその脅威を増しており，それは本誌読者が多く従事されているOTの領域も例外ではない。サイバーセキュリティ対策は単純なサイバー攻撃に対するリスクではなく，ビジネスリスクに備えるものとして，そして多くの企業にとって従業員や顧客情報を守るだけではなく，事業成長のために欠かせないものとして考えるべきなのだ。

図1にフォーティネットがグローバルで取組んでいる重要戦略を示す。

図1　フォーティネットのグローバル戦略

OTの世界でサイバーセキュリティに対する機運は非常に高まっている一方で，IT/OTの文化の違いや守るべき対象の違い，運用面や文化の違い等，多くの問題点が存在する。本稿では，それらをどのように解決して実効性のあるセキュリティ対策を講じることができるのか，長年OT領域に携わり，そしてOTサイバーセキュリティを通してIT/OTの橋渡し役を担うことをミッションとして掲げている筆者がその進め方を述べる。

2．オペレーショナルテクノロジー，OTセキュリティとは？

本誌読者はまさにOTの領域に従事している方が多いゆえ，「オペレーショナルテクノロジー（OT）とは」という説明は不要と考えるが，一方「OTセキュリティとは」という質問に対してどのような答えをお持ちであろうか。それぞれの立場で何を，どこまで対策する必要があると明確に答えられるだろうか。

ガートナ社によるOTセキュリティの定義では，「（a）人，資産，情報を保護し，（b）物理デバイス，プロセス，イベントを監視および／または制御し，（c）企業のOTシステムに対して状態変更を実行する手法および技術」とされている。それでは，そもそもOTセキュリティはなぜここまで話題になっているのか，述べてみよう。

一つ目，従来OTは独自の技術・運用，クローズドネットワークであったため，セキュリティリスクが低いとされてきたが，DX推進と繋がるOTが進んだ結果，セキュリティリスクが増大している。

二つ目，サイバー攻撃の巧妙化により，IT側からの侵入対策のみでOT設備を維持管理しつつ企業の資産全体を守ることが困難になっている。

三つ目，世界情勢等も相まって国内外OT環境の規制強化の動きが活発になっている。

特に国内規制について触れておくが，2022年6月，「高圧ガス保安法」，「ガス事業法」，「電気事業法」の改正法が成立し，それぞれの指定の事業者において重大なサイバーインシデントが発生した場合，またはそれが疑われる場合，経済産業省が独立行政法人情報処理推進機構（IPA）に対して原因究明のための調査を要請することができることとなった。

スマート保安促進の上で発生するリスクへの対応措置と捉えられ，このような動きが今後他業界にも広がっていくことが予想される。また，規制が強化された場合，信頼性の観点から準拠できない企業はマーケット参加権を奪われることになりかねない。

OTのサイバーセキュリティの脅威の入り口は，大きく分けて4つに分類される。

①外部ネットワーク経由のウイルス感染／侵入／不正コマンド送信などの攻撃

②USBメモリ経由のウイルス感染

③メンテナンス業者等の外部作業者を含む侵入者，および持ち込みデバイスからのウイルス感染／不正なコマンド送信などの攻撃

④不正な動作をするコードが調達時に埋込まれている

ただし，これを単発的な侵入や被害と捉えてはならず，異常動作／異常停止の度合いによっては環境被害や人体への影響，爆発事故等による人命への影響を考える必要があるということ，そしてそうしたことが重なった場合，BCPや企業価値そのものへの懸念から「セキュリティリスク＝ビジネスリスク」へ発展してしまうということ，さらに何よりこれらの脅威が自身の働く環境でも起き得ることであり，「自分ごと」として捉える必要があることを忘れてはならない。

3．OTセキュリティの課題

前述の通り，「繋がるOT」によってもはやDXとサイバーセキュリティは表裏一体の関係となっている。ところが，巧妙化する脅威に対して既存組織のままで技術を導入してもそれを管理・責任体制が明確でない，あるいは何かインシデントが発生した際の対応・復旧手順が整っていない場合，被害を抑えることができず，たとえば既に費用をかけて導入したセキュリティ製品が機能しない可能性がある。

図2にOTセキュリティ対策を進める上で重要な要素として2つの「三位一体」を示す。一つ目は，OTの現場で実効性のある対策を進めるため，様々な課題を「組織（People）」，「運用（Process）」，そして「技術（Technology）」の3つに分類し，これらをバランスよく対策することが全体的なリスク低減に繋がるという考え方である。そして二つ目は，組織，部門間の「三位一体」である。

図2　OTセキュリティの課題と2つの「三位一体」による解決

現場のOT，情報システム／管理のIT，そして経営層，これらの3者は実務目的が異なるゆえ，それぞれサイバーセキュリティ対策を「自分ごと」として認識し，「セキュリティリスク＝ビジネスリスク」ということを理解して日々のSQDC活動につなげていただきたい。

さて，上述した3つの課題についても補足しておく。

組織（People）については，「ガバナンス欠如」，「責任部署が不明確」，「現場教育の不足」等，一見課題は明確化されているものの解決自体は簡単ではない。脅威の巧妙化によって専門知識も今まで以上に必要とされ，IT/OT両部門の連携対応がより一層求められる。

運用（Process）については，上述の組織（People）・人に起因する課題が多い。ガバナンスや責任が明確でない上に専門知識も不足しているため，運用ルールが明確化されておらず，万が一インシデントが発生した場合，当然対応・復旧が機能するとは言い難い。現状把握ができていない場合，企業や設備のセキュリティリスクがどの程度かを知らないということになるため，結果としてどこまでコストをかけて対策をしたら良いか判断できないということも少なくない。

技術（Technology）については，基本的にITセキュリティとOTセキュリティでソリューションが異なるということはない，ただし，OTは「可用性」重視傾向であることやITとのセキュリティ対象の違い，運用面や文化の違いを考慮した対応をしなければならない。次世代ファイアウォール（NGFW），ネットワークの可視化やセキュリティ情報・イベント管理（SIEM），ネットワークアクセス制御（NAC）など，幅広いセキュリティ技術が適応可能であるが，技術の導入と同レベルで「組織（People）」，「運用（Process）」の対応を進めていくことが，OTセキュリティ対策に実効性を持たせる唯一と言っても良い方法である。

4．サイバーセキュリティの説明責任と実効性

4.1 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」の活用

これまで前述した課題に対して実効性のある対策を実施するため，経済産業省から公開されている「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」（以下，経産省ガイドライン）について紹介したい。

経産省ガイドラインは2022年11月16日に正式公開され，32項目のチェックリストが付録されている。本チェックリストは，前述の「組織（People）」，「運用（Process）」，「技術（Technology）」の3要素に「工場システムサプライチェーン管理」を加え，製造業をはじめとする産業界に対して簡易的な現状把握と実効性のある対策を短期的に実施できるよう，非常に洗礼された内容となっている。そしてOTセキュリティ対策を進める上で，「どのように進めたらよいのか」，「どのような対策を実施すべきなのか」，「どこまでコストをかけて実施すべきなのか」といった課題に対して比較的簡単に対策を始めることができる。

フォーティネットでは本チェックリストを活用したWeb診断ページを無料で公開しており，各ユーザにて簡易的に現状把握ができる仕組みを提供している。Web診断結果はA-Dでスコアリングされるため，一目で自社のセキュリティレベルの判断が可能だ。フォーティネットではその後の対策をスムーズ進めるべく，まずはWeb診断を受けることを推奨している＊1）。

4.2 経産省ガイドライン適合とソリューションマッピング

当社は上述した経産省ガイドラインへ準拠すべく，各ユーザに対してアセスメントサービスを提供している。（図3）

図3　無償Web診断とOTセキュリティアセスメントサービス

Web診断回答結果をベースに，「現地アセスメント」と「実機アセスメント」を実施することで，成果物として「アセスメント結果報告書」，「想定被害（概算）」，「リスクシナリオ」を提供し，各社リスクに応じたあるべき姿の把握と，ファーストステップの対応として「チェックシートの評価「B」を実現する対策案」を目指すことを目的としている。そして，経産省ガイドラインを活用することでそれが社内外の説明責任を果たす一助となり，かつ早期実効性の確保の達成を目指すことが可能となる。

また，当社は経産省ガイドラインチェックリストを12個のサブ項目としてさらに整理し，それぞれに対するソリューションをまとめている。（表1）

表1　経産省ガイドライン準拠とソリューションマッピング

まずは，経産省ガイドラインを参照して現状把握から始めてもらいたい。無償Web診断により比較的敷居低く現状把握ができるため，ぜひ活用していただきたい。

5．実効性観点のOTセキュリティ対策の考え方

OTセキュリティ対策を実施する必要性については前述した通りであるが，そもそもOT領域に従事されている方のビジネス目標はSQDCである。一方，今までOT領域のサイバーセキュリティ対策とこのSQDCが直接的に結びついていなかったことこそ対策が進まなかった大きな理由の一つであり，それがDX推進をはじめとするOTのIT化が進むことによってまさに今直結する問題となった。

OTセキュリティ対策は，事故発生を起点としてその前後の予防活動と事故発生時の対応，この二つに分類される。予防活動は比較的技術導入を進めやすい側面があるが，万が一ウイルス侵入による事故が起こってしまった場合，これについては技術導入のみの対応では難しく，組織（People），運用（Process）の対策が必須であることは本稿で何度も述べてきた。組織（People），運用（Process）をしっかり機能させることで被害を最小限に抑え，いち早く通常操業へ戻すことで安心・安全なサイバー空間を保つ。まさにそれがOTセキュリティの対策を行う理由なのだ。（図4）

図4　実効性観点のOTセキュリティ対策の考え方

6．終わりに

当社フォーティネットはグローバルネットワークセキュリティ企業として，自社開発チップとOSの強みを生かして複数製品が連携してセキュリティを強化する「セキュリティファブリック」を提唱している。これはOTセキュリティも同様の展開となるが，People（組織），Process（運用）とのバランスを考えて適応させる必要があり，有事の際の復旧手順までしっかり立てる必要があるのはこれまで述べた通りである。

そのためには，まず現状把握が不可欠であり，それを実現するために経産省のガイドラインを活用するということ，そして実効性のあるファーストステップの対応を短期的に対策，その後リスク度合いで対策の拡張を行う，そして，最終的にはIT/OT両領域でワンストップサービスを展開することで両領域の橋渡し役を担い，OT業界の安心・安全に努めたいと筆者は考える。

注） ＊1）URL:https://www.fortinet.com/jp/promos/ot-security-assessment

〈参考文献〉

1）佐々木弘志：『製造業のサイバーセキュリティ－産業サイバーセキュリティ体制の構築と運用－』

2）佐々木弘志：「モノづくりデジタル化”事例”大全 デジタル化の加速で注力すべきこと」，『工場管理』，10月臨時増刊号（2022年）

3）経済産業省：『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0』