【Solution】
製造現場を見てわかったこと
~セキュアDXに必要不可欠なOTセキュリティリスクの考え方
1.はじめに
本誌の特集テーマとして,「生産(製造)現場の保全/保安の高度化とスマートソリューション」が挙げられている。センサメーカ,ICSメーカ,そして解析ソフトウェア,およびサービスメーカ,エンジニアリングメーカ,いかなる企業も例外なくデジタル技術の利活用からなるビジネス展開をされているのではなかろうか。それと同時に,長年製造業をはじめとするOTの世界に従事している筆者としては,これだけOTセキュリティの機運が高まっていると感じたことは過去にない。
OTセキュリティWhyの部分については既知の通り,その議論については一巡し,IoTデバイスの導入,AIやビッグデータを用いた高度な分析,クラウドベースのサービスへの移行により,デジタル技術を活用したプロセスの効率化,生産性の向上,ビジネス変革の流れがその必要性を後押ししているのは言うまでもない。
製造業の目標の一つであるSQDC(S:Safety,Q:Quality,D:Delivery,C:Cost)はE(E:Environment)が加わり,SQECD(順番は業界様々)とされるケースも多くなってきた。環境問題への配慮が入ることでこの分野へのデジタル技術導入が加速することが予想される。
エネルギー産業では,スマート保安の促進と関連してサイバーセキュリティに対する規制の動きは早くから進んでいるが,2022年6月,「高圧ガス保安法」,「ガス事業法」,「電気事業法」の3法の改正法が成立し,サイバーセキュリティに関する要項が加わっている。保安に関わる重大なサイバーインシデントが発生した場合,またはそれが疑われる場合,経済産業省が独立行政法人情報処理推進機構(IPA)に対して原因究明のための調査を要請することができるというものである。これにユーザサイドの意思は含まれておらず,調査となれば事故・復旧対応に加え大きな労力がかかることが予想される。
これはエネルギー業界に限った話ではなく,スマート保安促進の動きと共に新たな保安上のリスク分野への対応,そして災害対策・レジリエンスの強化として考慮する必要があるがゆえ,このような動きが今後他業界にも広がっていくであろう。一方,OTセキュリティ対策をどのように進めていくか,その文化の成熟度と共に正攻法は確立されていない。日本の製造業全体として何とかセキュリティレベルの向上に努めることはできないのだろうか。
本稿では,実効性のあるOTセキュリティ対策の進め方として必要不可欠であるOTセキュリティのリスクの考え方,Howの部分を中心に長年製造業を始めとするOTの世界に従事し,多くの製造現場を見てきた筆者が課題と解決方法を述べる。
2.ITセキュリティとOTセキュリティ
ITセキュリティとOTセキュリティの違いは何だろうか。まず筆者が課題として挙げるのは,この両者の違いに対する理解である。可用性(Availability)と機密性(Confidentiality),そして完全性(Integrity)の優先順位の違いだろうか。独自プロトコル通信対応要否だろうか。ITセキュリティとOTセキュリティの違いはリスクに対する考え方である。リスクが違うのに端的に可用性と機密性,完全性を比べることできないと筆者は考える。
ITは既知の通りInformation Technologyの略称であり,情報を取り扱う技術を指す。そして,サイバー攻撃は従来ITから派生した脅威であり,サイバーセキュリティ対策は長年情報資産を守るものとして理解されてきた。情報資産に対するリスクは乗っ取り,漏洩,改ざん,身代金,昨今ではサイバー空間上の設定ミスや管理不良もサイバーインシデントとして含まれる(図1)。
一方,OTはOperational Technologyの略称であり,産業用コントロールシステム(ICS),SCADA(監視制御およびデータ取得)システムなど,実際の物理的なデバイスやプロセスを制御・監視するための技術を指す。そして,物理的な生産活動がある以上,物理的な被害が発生する可能性があり,プラント,工場,あるいはビルや病院など,拠点ごとによって生産されるものや守るものが異なれば当然リスクも異なる。OTセキュリティはそれぞれ考えらえるリスクを正しく理解しそれが許容できるリスクなのか,許容できないリスクなのかを判断,その上で許容できないリスクに対して運用やシステムを駆使して対策を行うのである。
これは筆者が過去に携わってきたプラントの機能安全・安全計装の考え方と非常に近い。ただ,サイバーセキュリティの場合はマルウェアや攻撃の手法含め脅威が日々刻々と進化する。対策を行ってもそれがワンショットで終わらず,(セーフティがワンショットで対策ができるという意味ではないが)場合によっては陳腐化してしまう。それゆえ,常にその対策がどれだけリスク低減できているか,定期評価する必要がある(図2)。
3.サイバー空間の安心・安全とは?
前述したOTセキュリティのリスクについてもう少し深堀してみる。これが次の課題であり,製造業に従事する方々にとって起きて欲しくない事象がサイバー攻撃によって発生する可能性があるということへの意識づけである。
では,製造業にとって本当に起きて欲しくない事象(リスク)とは一体何だろうか。それは製造現場に従事している方々の日々のSQECDを阻害することであり,「安心・安全」を損なうことである。製造業の「安心・安全」を損なう要因としては,誤作動,不作動,設定ミス,機器故障,ヒューマンエラーなどが挙げられるが,これらが爆発事故や環境被害,品質問題や人災といった大きなリスクを誘発する事態となる可能性がある。こうした事態を起こさぬよう,製造現場に従事している方々は5SやKYをはじめとする保全ルールを順守している。
では,これをサイバー空間に当てはめてみよう。スマート保安の促進も相まってプラント,工場のデジタル化,クラウド活用は益々活発化し,今後もOTのIT化が進むであろう。その場合,サイバー攻撃に合わないことはもちろん,サイバー空間の設定ミスや管理不良が起きないよう,製造現場従来の保全と同様,サイバー空間の保全を行うことが必須であると言える。加えて,製造業では侵入さえ許してしまえばマルウェアでなくとも正常なコマンドでシステムを操作し,被害を引き起こすことも可能である。
よって,サイバーセキュリティ対策として,単にサイバー攻撃から情報資産を守るということだけではなく,様々な可能性からリスク低減を行うことでビジネスを守るということ,そして,「サイバー空間の安心・安全の確保」を行うことが,製造業の目的であるSQECDへ大きく貢献するということをぜひ認識して頂きたい。
4.実効性のあるOTセキュリティ対策解決方法
4.1 リスクの正しい理解と現状把握
我々フォーティネットは前述した課題を解決する方法として,経済産業省から公開されている「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」(以下,経産省ガイドライン)に付録されているチェックリストを活用している。
本チェックリストは,OTセキュリティ対策において重要な要素である組織(People),運用(Process),技術(Technology)の3つに「工場システムサプライチェーン管理」を加え,製造業をはじめとする産業界に対して簡易的な現状把握と実効性のある対策を短期的に実施できるよう,非常に洗礼された内容となっている。我々はこのチェックリストをWeb診断できる仕組みを公開しており,結果はA-Dでスコアリングされるため,一目で自社のセキュリティレベルの判断が可能だ。最短で僅か15分程度で即結果が得られるゆえ,まずはWeb診断を受けることを推奨する1)(図3)。
そして,リスクの正しい理解を目的とし,各ユーザに対してアセスメントサービスを提供している(図4)。Web診断結果をベースに,「現地アセスメント」と「実機アセスメント」を実施することで,リスクの正しい理解と今後の対策指針が導出される。
現地アセスメントでは,サイバーセキュリティの観点のみならず5S,KY,BCP等製造現場に従事する方々の日々の保全ルールも含め製造現場の調査やヒアリング,体制図や指針,台帳等のドキュメントチェックを行う。実機アセスメントでは,実機を設置し,脅威,トラフィック,アプリケーションの観点でデータを取得する。これによりデータ解析のほか,現地アセスメントで得られた運用方法の裏付けを行う。そして,ファーストステップの対応としてWeb診断結果 ALL「B」を目指すことを目標として支援している。
経産省ガイドラインを活用することでそれが社内外の説明責任を果たす一助となり,かつ早期実効性の確保の実現を目指すことが可能となる。
4.2 事故対応でこそ発揮する組織,運用,技術のバランス対策
OTセキュリティ自体は比較的新しい考え方であり,前述の通り正攻法が定まっていない。その中でさらに巧妙化するサイバー攻撃に対して今の組織・体制のままでセキュリティ製品を導入しても,たとえば責任・管理体制,運用ルールが曖昧で,セキュリティに関するインシデント対応フローもない場合,万が一サイバーインシデントが発生した際,結局被害を抑えることができず,せっかく導入したセキュリティ製品が本来の期待通りに機能してくれない可能性が考えられる。
そこで,前述の組織(People)や運用(Process)と合わせて技術(Technology)の3つをバランスよく対策することがリスク低減に繋がるのである。
OTセキュリティ対策は,①予防と②事故対応の2つの観点で対策ができる(図5)。①予防はいわゆる何も起きていないときの対応のため,比較的製品の導入がしやすい側面がある一方で,②事故対応の場合は製品のみでカバーすることは難しく,人による運用が重要な要素となる。
OTセキュリティの場合,第一発見者は製造現場に従事している方々になる可能性が極めて高いことから,その人が通常の事故対応と同様,自分が何をしなければならないか,誰に報告をしなければならないか,対策が導入されていればこの対策はなぜ必要で,対策がないと何が発生するのか,プレイブックを踏まえた運用の建付けとそれらの責任・管理体制が明確化された組織が必要である。
OTセキュリティ対策において,この②事故対応の部分が抜けてしまうケースが少なくない。予防で全てのサイバー攻撃や設定ミスや管理不良が防げるわけではないことは,昨今の被害事例を見ても案内のことだろう。②事故対応によってどれだけいち早く通常操業へ復旧できるかが,OTセキュリティ対策そのものであると言っても過言ではないと考える。
5.終わりに
ユーザのベンダ選定として,A社,B社,C社と横並びとし,機能比較の〇×表を作成する。そして,一番〇の数が多く,安価なベンダを選定するということは一般的と考えるが,この営みとOTセキュリティに関するリスク低減とがどの程度紐づいているのかが重要である。
ITセキュリティと異なるOTセキュリティの領域ではそれぞれのリスクについて正しく理解することが必要であり,それらを組織(People)や運用(Process)と技術(Technology)のバランスを考えて,かつ①予防と②事故対応の観点で適応させる必要がある。有事の際の復旧手順まで建付けを行い,それが訓練によって機能するか定期的に評価する。ここまでできて初めて対策が機能していると言えるだろう。
それを実現するための一例が経産省ガイドラインであるが,フォーティネットではWeb診断やアセスメントで得られた結果から導出される現状とリスクより,どのような対策しなければならないか,製品ラインアップを揃えている。また,セキュリティ製品はもちろんのこと,組織,運用面の支援をはじめ,OTセキュリティに特化したガイドラインの策定サポート等,様々なサービスを行っている(表1)。
まずは,ファーストステップとして,ベストプラクティスを作ることでそれが次回以降のノウハウとなり,コストを削減しつつ,かつ効率よく実行力のある横展開が可能となるのである。我々はこれらの活動を通して,日本の製造業全体のセキュリティレベル向上と文化醸成に努め,IT/OT両領域でワンストップサービスを展開することで両領域の橋渡し役を担い,製造業の皆さんの収益の拡大に貢献したいと考えている。
〈参考文献〉
1)簡易Web診断
2)『製造業のサイバーセキュリティ-産業サイバーセキュリティ体制の構築と運用』,佐々木弘志著
3)経済産業省:『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0』