OTセキュリティ対策とは?
工場の安全神話崩壊と3つの守り方
製造業の現場において、「工場内のシステムはインターネットにつながっていない(閉域網)ため、サイバー攻撃を受けることはない」という認識はいまだ根強く残っているかもしれません。しかし、工場のDX化やIoT化が進む現代において、安全だとはいえない状況になってきています。
実際、外部ネットワークとは遮断されていたはずの工場がランサムウェアの被害に遭い、長期間の操業停止に追い込まれる事例が国内外で相次いでいます。現場には、長年稼働し続ける古いOSや、保守作業で持ち込まれるUSBメモリなど、特有の侵入経路が存在することが被害拡大の原因といえるでしょう。
この記事では、OT(制御技術)領域のセキュリティ対策が必要な理由や、ITとOTとの違い、現場の稼働を止めないための現実的な「3つの守り方」について解説します。
目次
なぜ今、製造業に「OTセキュリティ」が必要なのか
製造業を取り巻く環境の変化に伴い、従来のオフィス向けのセキュリティ対策だけでは工場の安全は守りきれなくなっています。まずは、IT(情報技術)とOT(制御技術)の決定的な違いと、工場特有のリスク要因について見ていきましょう。
IT(情報技術)とOT(制御技術)の違い
一般的に、オフィスで利用される「IT(Information Technology)」と、工場の設備やラインを制御する「OT(Operational Technology)」では、守るべき優先順位が大きく異なります。
ITセキュリティでは、顧客情報や技術情報の漏洩を防ぐ「機密性(Confidentiality)」が最も重要視されます。一方、OTセキュリティにおいて最優先されるのは「可用性(Availability)」、つまり「システムを止めずに稼働させ続けること」です。そのため、OTの現場ではセキュリティパッチの適用やウイルススキャンのためにシステムを停止・再起動することが難しく、この文化や要件の違いが、セキュリティ対策を進める上での大きな壁となっています。
DX・IoT化により崩れる、閉域網の安全神話
かつて工場内のネットワークは、外部と接続されない「閉域網(クローズドネットワーク)」であることが一般的であり、それがセキュリティの担保となっていました。しかし近年、生産効率の向上や予知保全を目的としたDX・IoT化が加速し、工場のデータがクラウドや本社のITネットワークと連携するケースが増加しています。
これは同時に、外部からの攻撃経路(アタックサーフェス)が増えることを意味します。「インターネットに直接つないでいないから安全」ということはなく、製造業の現場では、物理的な遮断を超えてウイルスが侵入することが前提とした対策を求められています。
工場の稼働を脅かす、現場特有のセキュリティのリスク
インターネット接続の有無にかかわらず、製造現場には構造的なセキュリティのリスクが潜んでいます。ここでは、工場の安定稼働を脅かす代表的な2つのリスク要因について解説します。
「レガシーOS」と古い制御機器の脆弱性
工場の生産設備は、一度導入されると10年から20年という長期にわたって使用されることが一般的です。一方で、それらを制御するPCのOSのサポート期間は5年から10年程度と短いため、ここに大きなギャップが生じます。その結果、Windows XPやWindows 7といった、メーカーサポートが終了した「レガシーOS」が、セキュリティパッチも適用されないまま現役で稼働し続けているケースは少なくありません。
現場には「OSをアップデートして既存の制御ソフトが動かなくなったら困る」「パッチ適用のために生産ラインを止めるわけにはいかない」といった切実な事情があり、脆弱性があると理解していても対策が打てないジレンマを抱えています。
盲点となる「持ち込みデバイス(USB・保守PC)」
「インターネットにつながっていない完全なオフライン環境だから安全」と思われる生産現場でも、データの受け渡しや設備のメンテナンスは行われます。従業員がデータの移行に使用するUSBメモリや、メンテナンス業者が点検のために持ち込むノートPCが、ウイルス感染のトリガーとなるケースは後を絶ちません。
外部ネットワークを経由しなくても、こうした「物理的な接触」によってマルウェアが持ち込まれると、閉じたネットワーク内で感染が拡大してしまいます。閉域網においても侵入経路はあると認識することが大切です。
製造業が狙われた被害事例
セキュリティ対策の不備は、実際にどれほどの被害をもたらすのでしょうか。ここでは、国内外の製造業において発生した大規模な被害事例を紹介します。
ステークホルダーの大手企業にも影響が及んだ事例
国内の自動車部品メーカーや海外のアルミ製造大手企業など、多くの製造現場でもランサムウェアの被害に遭い、工場の操業停止に追い込まれる事態が発生しています。部品メーカーの生産停止は、納入先である自動車メーカーといった大手企業のライン停止にも直結し、サプライチェーンすべてに甚大な影響を及ぼします。
膨大な数の端末が被害を受け、損害額が約190億円に上った事例
ある海外の半導体製造大手企業では、工場内の約1万台ものPCがマルウェアに感染するという大規模なインシデントが発生しました。これにより工場は操業停止に陥り、復旧費用や生産停止に伴う機会損失を含めると、その損害額は約190億円に上ったとされています。
これらの事例が示す通り、OTセキュリティの欠如は単なるシステムトラブルにとどまらず、巨額の財務損失や企業の社会的信用の失墜、さらには取引先を含めたサプライチェーン全体に被害を及ぼす経営リスクそのものといえるのです。
現場の稼働を止めない!製造業のための3つのセキュリティ対策
「セキュリティを強化して生産効率が落ちては本末転倒」という現場の不安に応えるためには、工場の安定稼働を最優先に考えた対策が必要です。ここでは、現場の実情に即した3つの現実的な対策を紹介します。
対策1:資産の「可視化」と「管理」
セキュリティ対策の第一歩は、「守るべき機器がどこに何台あるか」を正確に把握することです。しかし多くの工場では、管理台帳と実態が乖離していたり、情報システム部が把握していないPCが存在していたりと、資産管理が不十分なケースが散見されます。インターネットに接続されていないクローズドな環境であっても、メンテナンス時に持ち込まれる媒体などからマルウェアが侵入するリスクは常にあります。
こうした課題に対しては、製造現場の制御端末の特性に配慮したUSB型エージェントレス検査ツール「Portable Inspector」で現場資産の「可視化」を行い、その結果を「ElementOne」で一元管理するアプローチが効果的です。まずは安全に現場の実態を把握し、継続的に管理できる基盤を作ることが、OTセキュリティ強化の確実な第一歩となります。
対策2:USB制御と持ち込みデバイスのルール化
物理的な侵入経路を断つためには、USBメモリや外付けHDDなどの外部デバイスに対する制御が不可欠です。そのためには、現場の利便性を損なわないよう配慮しつつ、「会社が許可した特定のUSBメモリ以外はシステム的に読み込めなくする」といったデバイス制御を行い、ウイルス混入のリスクを大幅に低減しましょう。また、操作ログを取得する設定にすれば、「誰が、いつ、何を持ち込んだか」を追跡できるため、内部不正の抑止力としても機能します。
対策3:ITとOTの「ネットワーク分離」
万が一、事務系(IT)ネットワークがウイルスに感染しても、その被害が工場(OT)側に波及しないよう、ネットワークの構造自体を工夫することも重要です。
具体的には、「UTMサービス」のような統合脅威管理製品を導入し、ITとOTのネットワークセグメントを明確に分離します。さらに、OTネットワーク内も細分化(セグメンテーション)し、不要な通信を遮断することで被害の拡散を防ぎましょう。その際、許可された通信のみを通過させる「ホワイトリスト方式」の通信制御や、既知の攻撃パターンを検知・ブロックする「IPS(侵入防御)」機能を組み合わせることで、稼働への影響を最小限に抑えつつ、ゼロトラスト的な強固な防御壁を構築します。
製造業にはOTセキュリティが強く求められている
近年、製造業のOT領域においては、個別の企業努力だけでなく、業界全体でのセキュリティレベル底上げが求められています。現在は経済産業省による「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」の策定など、管理体制の明文化やガイドラインへの対応が急速に進んでいます。
工場の操業停止リスクは、一企業の問題にとどまりません。サプライチェーン全体を止めてしまうリスクがある以上、取引先からのセキュリティ要求は年々厳しくなっています。もはやOTセキュリティは、現場任せにするものではなく、経営層が主導すべき重要課題です。現場の「止めたくない」という要望と、経営層の「守りたい」という要望、その両方を満たす現実的な運用ルールの策定が急務となっています。
OTセキュリティは「コスト」ではなく「安定稼働への投資」
サイバー攻撃による操業停止を回避することは、納期遵守と品質保証、ひいては企業の社会的信用を守るためのBCP(事業継続計画)そのものです。OTセキュリティへの取り組みは、単なる「コスト」ではなく、将来にわたる「安定稼働への投資」と捉えるべきでしょう。
ただ、ITとOTの両面を踏まえた対策を社内だけで体系的に進めるのは簡単ではありません。設備ごとの制約や現場の事情を考えながら、どこから着手するべきか悩まれる企業も多く見受けられます。
私たちは、まずは現場の状況やお困りごとをお伺いした上で、最適な進め方をご一緒に検討しています。OT向けセキュリティ製品も組み合わせながら、無理のない形で対策を進められるよう支援します。
自社の現在の体制を見直し、時代に即した強固なセキュリティ基盤を構築したいとお考えの方は、ぜひサービス資料をご確認ください。