【ソリューション】
大企業から中小企業まで支える 実効性あるOTセキュリティ対策
1.はじめに
我々フォーティネット(以下,当社)は,セキュリティ企業としてすべての人々やデバイス,データを守りぬくことをミッションとしている。2000年に米国カリフォルニア州で創業して以来,持続可能な経営と安心して過ごせる社会の実現を目指して,世界各国70万5,000社以上のユーザにセキュリティソリューションを開発・提供し続けている。我々のセキュリティソリューションは業界最多,ファイアウォール/次世代ファイアウォールの出荷台数は国内でも50%以上の導入シェアを誇り,最多の特許を取得している。
既知の通り,サイバー攻撃は国内外を問わず加速度的にその脅威を増しており,それは本誌読者が多く従事されているOT(Operational Technology)領域も例外ではない。デジタル化が進み「つながる」OTが当たり前な社会の中で,ひとたびサイバーセキュリティ事故が発生すれば,その影響範囲は自社だけにとどまらない。サプライチェーンを構成する様々な企業等に影響が伝播しうることは,自動車部品メーカに対するランサムウェア攻撃事例でも広く認識されたことと思う。
DX時代において,サイバーセキュリティリスクへの対応はビジネスへの参加条件という性格も帯び始めてきており,2022年10月には経済産業省と公正取引委員会が連名でサプライチェーン全体のサイバーセキュリティ向上のためのパートナシップ構築の考え方を発表するなど,社会全体としての機運は高まっている。一方で,OTセキュリティ対策においては,Whyを理解したところで,具体的に何からどうやって進めていくのかというHowの部分に課題があり,前に進まないケースも多く聞く。
本稿では,大企業から中小企業までのサプライチェーン全体を網羅する,当社のOTセキュリティ対策のHowとこれを実効的に進める勘所について,ユーザ企業で10年以上の計装エンジニア業務経験を持ち,安全安心で便利なOTをサイバーセキュリティで支えることをミッションとして掲げる筆者が解説する。
2.OTセキュリティのリスクとは?
OTセキュリティ対策のHowを語る前に,まずはOTセキュリティの「リスク」について押さえておきたい。リスクという言葉は「何か悪いことが起こる可能性」と考えると理解しやすい。では,OTセキュリティにおける「悪いこと」とは何であろうか?
サイバーセキュリティは,もともとはIT(Information Technology)由来の用語であるため,情報資産の漏洩や改ざんといったことが頭に浮かぶかもしれない。確かにそれらも良いことではないが,製造業を代表とするOTで本当に起きてほしくないことは,現場の安全・安心が損なわれ,日々の生産活動が阻害されることにほかならない。
製造現場では,物理空間の安全・安心を守るため5S・KYといった保全ルールが順守されている。つながるOTの世界では,サイバー空間においても物理空間同様,設定ミスや管理不良が起きないよう,サイバー空間の保全が必要である。加えて,製造業では侵入さえ許してしまえばマルウェアでなくとも正常なコマンドでシステムを操作し,被害を引き起こすことも可能である。
よって,OTセキュリティ対策は,単にサイバー攻撃から情報資産を守るということだけではなく,現場の安全・安心や生産活動を守る観点からもリスク低減を行うこと,すなわち,「サイバー空間の安心・安全の確保」を通じて製造業の目的であるSQECDを達成するための活動なのである(図1)。
3.OTセキュリティ対策のHow ~経産省工場ガイドラインの活用~
当社は,OTセキュリティ対策の進め方として,①現状把握,②リスクの正しい理解と計画,③モデル工場へのソリューション導入,④他拠点/サプライチェーン展開の4ステップを提唱している(図2)。
その道しるべとしているのが,経済産業省から公開されている『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0』(以下,経産省ガイドライン)付録のチェックリストである。このチェックリストは,製造業をはじめとする産業界に対して簡易的な現状把握と実効性のある対策を短期的に実施できるよう,項目数が「組織」「運用」「技術」「工場サプライチェーン」の4カテゴリで合計32項目と厳選されており,ファーストステップとして汎用性が高い内容となっている。
本チェックリストを活用したWeb診断*1)を当社は無料で公開しており,各ユーザにて簡易的に現状把握ができる。診断結果はA~Dでスコアリングされ,一目で自社のセキュリティレベルが判断可能だ。最短15分程度ですぐに結果が得られるため,まずはWeb診断を受けることを推奨している。
また,当社では現状把握後のリスクの正しい理解と計画の支援を目的としたアセスメントサービスも提供している。アセスメントは,体制図や指針・台帳等のドキュメントチェックとサイバーセキュリティの観点のみならず,5S,KY,BCP等日々の生産活動に従事する方々の保全ルールも含めて製造現場の調査・ヒアリングを行う「現地アセスメント」と,実機を設置して脅威・トラフィック・アプリケーションの観点でデータを取得する「実機アセスメント」から構成される。これらを通じ,各ユーザのリスクとリスクに応じた経産省ガイドラインでALL評価「B」を達成するための対策方針の導出を目指していく。
加えて,当社では経産省ガイドラインを12個の小項目としてさらに整理し,それぞれに対するソリューションをまとめている(表1)。アセスメントで導出した方針をモデル工場における具体的な対策へ落とし込んでいくコンサルティングや製品導入に始まり,横展開に向けたコンサルティングまで,一気通貫のワンストップサービスを提供可能である。
4.サプライチェーン全体を支援するエコシステム
ここまで経産省ガイドラインを活用したOTセキュリティ対策のHowを解説したが,無料のWeb診断はさておき,「アセスメント」や「コンサルティング」と聞くと,どうしても高額な費用感がイメージされ,大企業でなければコスト的に対応できないと思われるかもしれない。しかし,サプライチェーンは大企業から中小企業まで裾野が非常に広く,大企業だけでサプライチェーン全体を守ることは叶わない。当社のミッションでもある「すべて」の人々やデバイス,データを守りぬくためにも,大企業から中小企業までサプライチェーン全体を支援できるソリューションが必要となる。
そこで,前述の経産省ガイドラインを活用したアセスメントのプロセスやノウハウの知識移転を,パートナ企業やサイバーセキュリティ対策を推進する人材の国家資格である情報処理安全確保支援士(登録セキスペ)を対象としたトレーニングプログラムを通じて行い,あらゆる企業規模のユーザに対して実効的なOTセキュリティ対策を支援できるようなエコシステム構築を進めている(図3)。
パートナ企業に対するトレーニングは,開始から約1年が経過した2023年12月末時点で,すでに26社370名以上の受講者がおり,今後さらに拡大予定である。登録セキスペも全国に20,000人以上の登録者がいるため,パートナ企業や登録セキスペと協働する仕組みをつくり上げることで,広いサプライチェーンの裾野全体の支援が可能になると考えている。
この取り組みのポイントは,経産省ガイドラインという同じコンテンツ,当社からの知識移転による同じノウハウを活用することにより,サプライチェーン全体をOTセキュリティに関して共通言語・共通認識のもとで底上げできることにある。サプライチェーンは,当然自社だけで完結するものではなく,上流側の企業や下流側の企業も含めた,一連のつながりにより構成される。その構成員である各社が共通の言語で意思疎通が図れるようになることは,サプライチェーン管理におけるセキュリティ要件等の議論の効率化にも寄与し,社内外の説明責任と実効性の担保の両面において有効と考えられる。
そして当社の製品は,代表的製品である次世代ファイアウォール「FortiGate」を例にしても,データセンタ等の大規模システム向けハイエンドモデルから中小企業向けのエントリモデルまで幅広いラインアップがあり,規模に合わせた柔軟な構成が可能である。当社は,OTセキュリティ対策の伴走者としても,セキュリティ製品メーカとしても,スケーラビリティを持ったソリューションにより,今後もサプライチェーン全体に対して貢献していく。
5.実効性あるOTセキュリティ対策の勘所
これまで解説してきたOTセキュリティ対策のHowを実効的に進める勘所も2点ご紹介したい。
1点目は,経産省ガイドラインの大項目でもある「組織(People)」「運用(Process)」「技術(Technology)」のバランスである。OTセキュリティは比較的新しい考え方であり,正攻法が完全には定まっていない。そのため,責任・管理体制,運用ルールがあいまいな状態でセキュリティ製品を導入しても,たとえば対応フローやルールが決まっていない等の理由により,せっかく導入したセキュリティ製品が期待通りに機能せず被害を防ぎきれない可能性がある。そこで,対策実行に当たっては,技術だけではなく,組織や運用もあわせてバランスよく対策することが肝要である。
2点目は,「予防」と「事故対応」である。OTセキュリティ対策は,①平時の予防活動と②有事の事故対応の2つに分類できる(図4)。①予防活動は平時の対応のため,製品導入といった技術対策で比較的対応しやすい側面がある。一方で,②事故対応は,技術だけではカバーが難しく,前述の組織や運用が重要な要素となる。特にOTセキュリティの場合,第一発見者が製造現場の従業員となる可能性は極めて高い。通常の事故対応やBCP対応と同様,通報ルートや対応組織,復旧優先順位・手順などを予め準備し訓練することで,早期の復旧が可能となる。
OTセキュリティ対策において,②事故対応の部分が抜けてしまうケースは少なくない。予防活動だけですべてのサイバー攻撃や設定ミス・管理不良は防げない。適切な事故対応によりどれだけ早く操業を復旧できるか,そのための組織や運用を定め,人を補助する技術を導入していくリスクベースの検討プロセスこそ,OTセキュリティ対策の本質と言えるだろう。
6.おわりに
製造現場にはそれぞれの「現場」固有のOTセキュリティリスクがあり,リスク低減に向けては,組織・運用・技術のバランスを取りながら,予防と事故対応の観点で対策する必要がある。その道しるべの一つが経産省ガイドラインである。現場のリスクは企業それぞれだが,考え方の枠組み自体はすべて共通であり,サプライチェーンの上下流や企業規模により変わるものではない。本稿でご紹介した登録セキスペとの協業は,実証実験を経て,既に複数の案件検討が進んでいる。今後,実案件ベースのサプライチェーンセキュリティ課題や解決方法の解説についてもご期待頂きたい。
当社は,経産省ガイドラインを入口としたサービス以外にも,電力分野における『電力制御システムセキュリティガイドライン』など様々な業界別ガイドラインに即したサービス提供も開始している。しかし,ガイドラインが変わっても,現場固有のリスクを特定し,組織・運用・技術をバランス良く対策するという本質は変わらない。
OTセキュリティといえばフォーティネット。我々はこれからも,パートナ企業や登録セキスペとも協業しながら,日本のサプライチェーン全体のセキュリティレベル向上と文化醸成に努め,現状把握からサプライチェーン強化までのワンストップサービスを展開し,安全安心で便利なOTの実現に貢献していきたい。
注) *1)簡易Web診断〈参考文献〉
1)佐々木弘志:『製造業のサイバーセキュリティ-産業サイバーセキュリティ体制の構築と運用-』
2)経済産業省:『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0』