OT (Operational Technology)とサイバー攻撃
OT (Operational Technology)とサイバー攻撃リスク
サイバー攻撃への技術的な対策、つまり予防、発見、対処、復旧を切り口とした様々なソリューションの導入や運用の主体は多くの場合、企業のITに責任を持つIT部門が、専門部署の協力のもとで実施しています。しかし、一般的な意味でのIT(情報技術)は、企業・組織の情報インフラとしてのエンタープライズITだけでなく、実際のビジネス、つまり製造や顧客へのサービスといった部分にも深く浸透しています。一方、こうした現場へのIT応用については、そのビジネスと一体であり、単純なITに関する知識や経験だけではなく、製造やサービスに関する技術、関連する業務知識、制度、法令といった様々な知識を必要とするため、多くの企業では、実際にそのビジネスを担当する部門が主体となって導入、運用を進めています。こうした現場主体の技術をOT(Operational Technology)と呼びます。
OTとITの接近
かつて、OTに属するシステムは、各企業独自のノウハウに基づいたカスタムメイドが中心で、技術的にも汎用的なITとは一線を画したものでした。とりわけ製造業においては、製造装置などハードウエアへの依存も大きく、通信方法なども特殊で、そのバックエンドにあるシステムの設計、開発、運用には、これらの理解が不可欠となることから、汎用的なITが入り込む余地は、あまりありませんでした。
しかし、こうしたシステムにもLinux, Windowsといった汎用的なOSや、TCP/IPネットワークが導入され、様々な機器とのインターフェイスも標準化される中で、システムの汎用化も進んでいます。
また従来、互換性の問題もあって、完全に独立していたOT系システムやネットワークが、徐々に一般のIT系ネットワークやシステムと、直接、間接の結びつきを強めつつあります。汎用のOSやネットワーク技術が使われる事で、物理的な接続が容易になり、また、業務上の様々な情報、データをIT系システムと交換し、管理を一体化させるニーズが強まっているからです。さらには、これまで無縁と思われてきたインターネットとの間にも、接点が生まれつつあります。たとえば、インターネット経由での機器、装置のリモートメンテナンス、機器、装置のソフトウエア、ファームウエアのインターネット越しの提供、さらにはIoT(Internet of Things)と呼ばれる、ネットワーク化された機器の普及に伴い、OT系ネットワークもインターネットと無縁とは言えなくなりつつあります。つまり、好むと好まざるとにかかわらず、こうした接点を持たざるを得ない状況が生じているのです。
このような状況下では、時として、IT系システムとOT系システムの管轄の違いがネックとなり、物事がうまく進まない状況も生じます。とりわけ、全社的なITガバナンス強化の中で、統一的なアーキテクチャの導入を進めるIT部門と、ある意味自前主義の現場との間の調整は、多くの場合、困難が伴います。こうした状況の中、欧米を中心に数年前から、トップダウンでIT/OT統合を行う動きも出てきていますが、まだまだ課題は山積みです。全社的なエンタープライズITアーキテクチャの中に、OT系の上流部分も含めて体系化を行うことは、現在の企業にとって、重要な検討課題となりつつあります。
しかし、こうしたシステムにもLinux, Windowsといった汎用的なOSや、TCP/IPネットワークが導入され、様々な機器とのインターフェイスも標準化される中で、システムの汎用化も進んでいます。
また従来、互換性の問題もあって、完全に独立していたOT系システムやネットワークが、徐々に一般のIT系ネットワークやシステムと、直接、間接の結びつきを強めつつあります。汎用のOSやネットワーク技術が使われる事で、物理的な接続が容易になり、また、業務上の様々な情報、データをIT系システムと交換し、管理を一体化させるニーズが強まっているからです。さらには、これまで無縁と思われてきたインターネットとの間にも、接点が生まれつつあります。たとえば、インターネット経由での機器、装置のリモートメンテナンス、機器、装置のソフトウエア、ファームウエアのインターネット越しの提供、さらにはIoT(Internet of Things)と呼ばれる、ネットワーク化された機器の普及に伴い、OT系ネットワークもインターネットと無縁とは言えなくなりつつあります。つまり、好むと好まざるとにかかわらず、こうした接点を持たざるを得ない状況が生じているのです。
このような状況下では、時として、IT系システムとOT系システムの管轄の違いがネックとなり、物事がうまく進まない状況も生じます。とりわけ、全社的なITガバナンス強化の中で、統一的なアーキテクチャの導入を進めるIT部門と、ある意味自前主義の現場との間の調整は、多くの場合、困難が伴います。こうした状況の中、欧米を中心に数年前から、トップダウンでIT/OT統合を行う動きも出てきていますが、まだまだ課題は山積みです。全社的なエンタープライズITアーキテクチャの中に、OT系の上流部分も含めて体系化を行うことは、現在の企業にとって、重要な検討課題となりつつあります。
OT安全神話の崩壊
かつて、OT系のシステムの多くで、技術的な意味でのセキュリティ対策は重要視されてきませんでした。それは、OT系システムが、一般のIT系システムやインターネットから独立した存在で、そのアーキテクチャも特殊なため、侵害は困難だと思われていたからです。しかし、先に述べたような変化に伴って、次第にサイバー攻撃の被害を受けるようになりはじめます。こうしたOT系システムへの本格的なサイバー攻撃の先駆けとなったのが、2010年に登場したスタックスネット(Stuxnet)と呼ばれるマルウエア(コンピュータウイルスなどの悪意を持って作られたソフトウエア)です。このマルウエアは、イランの核施設を標的とした攻撃に使用されたとされ、一部のメディアでは、米国の情報機関NSAとイスラエルが共同で開発したと報じられました。このマルウエアは、本来の標的とされるイラン核施設から外部へ漏れ出し、ヨーロッパを中心に感染を拡大したことでセキュリティベンダによる解析が進み、工場の機器制御などに使用されるシーメンス社製プログラマブルコントローラ(PLC)に影響を与えることで、核燃料を濃縮する遠心分離装置を妨害する目的で作られたことが明らかになっています。当然ながら核施設のような場所にあるシステムは、インターネットなどからは完全に分離されているはずですが、スタックスネットは、一般のネットワークから、USBメモリを介して独立したネットワークに感染したと推定されています。
今日、メンテナンスやデータ、ソフトウエアの導入、移動を目的に、USBメモリなどの媒体が使われることも多く、またメンテナンス目的で、普段、一般のネットワークで稼働しているPC等を一時的に独立したネットワークに接続することもあります。そうした媒体やPCを介してマルウエアがネットワーク間を移動する可能性は、実際、極めて高くなっています。スタックスネットは、軍事施設などを標的とした高度な攻撃だから作ることができたと思われがちですが、こうしたマルウエアは、OTの知識があり、一定の技量を持つ開発者であれば、作ることが可能だと考えられます。実際、こうした独立システムを標的としたマルウエア攻撃はその後もあとを絶ちません。直接的に制御システムに影響を与えられなくても、それらを管理、監視するPCやサーバに感染させることができれば、間接的に物理的なプロセスを停止させることが可能になります。これは、一般の重要インフラ企業にとっても大きな脅威となります。
実際、先日(2021年5月)、米国の石油パイプラインが、マルウエア感染の影響で数日にわたって停止するというインシデントが発生しました。このマルウエアは、いわゆるランサムウエアで、制御システム自体を標的としたものではありませんが、それらを監視、管理するシステムに感染し、動作不能にすることで、石油の輸送を停止せざるを得なくなったものと推定されます。(注:2020/5/25追加:ニューヨークタイムズ紙の記事によれば、パイプラインの停止はランサムウエアによる制御システム関連の情報漏洩による直接的なサイバー攻撃の可能性を想定した予防的措置であるとされています)また、この攻撃は、米国政府の見解として国家やテロリストなどが関与したものではなく、ロシアを拠点とするダークサイドと呼ばれる犯罪者集団が実行したとされています。彼らの目的は金銭であり、ランサムウエアによって停止させられたシステム修復の条件として多額の送金を要求しています。こうした金銭目的のサイバー犯罪者は、攻撃対象の業務を妨害することによる脅迫を目的としているため、相手を選びません。今回は、たまたま重要インフラが対象となりましたが、一般の製造業やサービス事業者でも発生しうる問題なのです。(コラム参照 凶悪化するランサムウエア)
こうした攻撃は、標的となるシステムも選びません。多くの場合は一般のITシステムが標的ですが、OT系システムが、直接、間接にIT系システムやネットワークと結びつく中で、被害がOT系システムに波及する可能性は十分にあるのです。
こうした攻撃は、標的となるシステムも選びません。多くの場合は一般のITシステムが標的ですが、OT系システムが、直接、間接にIT系システムやネットワークと結びつく中で、被害がOT系システムに波及する可能性は十分にあるのです。
OTを含めた企業システム(セキュリティ)アーキテクチャの確立を
OT系システムのセキュリティ対策は、多くの場合、それを所管する部門の責任です。しかし、セキュリティ対策を実施、運用できる人材には限りがあり、育成にも時間がかかります。一方、IT部門は、これまで自社のIT系システムにおけるセキュリティ対策を手がけており、一定の経験と人材(外部委託を含む)を持っています。こうした経験や人材を活用しない手はないのですが、IT部門と言えども、そうした人材を豊富に抱えているわけではありません。そこで必要となるのが、これまでのIT系システムでの経験と、OT系システムの現場知識を合わせて、共通したセキュリティ対策の枠組みを作ることです。
いわゆるエンタープライズアーキテクチャ(EA)は、従来、IT系のシステムを中心として考えられてきました。自社の業務に適したシステム形態、ソフトウエア、ハードウエアを標準化し、全社的なガバナンスのもとに、ITの導入・運用を最適化する考え方は、OT、とりわけ、その上流にあるシステムとも共通化できるでしょう。システムとセキュリティのアーキテクチャは不可分ですから、セキュリティ対策もまた、こうした統一的なアーキテクチャに組み込まれていく必要があります。実施主体が異なっても、統一された基準、標準が存在することで、対応を均一化することが出来るはずです。とりわけセキュリティ対策における基本となるユーザ(ID)と権限の管理、認証、アクセス制御などの考え方は同じです。脆弱性への対応やマルウエア対策、侵害の検知と監視も、同様の枠組みで考えることができます。
システムの建て付けだけでなく、その運用もまた共通部分は多いでしょう。セキュリティ更新の適用などに関する運用手順は、OTにおいても、IT系の、とりわけ高可用性要求のあるシステムなどと同じように、きちんと定めておくことが重要です。
システムの建て付けだけでなく、その運用もまた共通部分は多いでしょう。セキュリティ更新の適用などに関する運用手順は、OTにおいても、IT系の、とりわけ高可用性要求のあるシステムなどと同じように、きちんと定めておくことが重要です。
とは言え、いきなりOTを含めたEAを考えるのは、かなりハードルが高い話です。しかし、共通化できる部分を見つけ出して、その範囲を少しずつ広げていく努力はきわめて重要です。まず、ITとOTの垣根を少しずつ取り払って、双方が知恵を出し合って考えられる場を作って行くことが重要でしょう。
OTを特別扱いし、担当部門任せにせず、そのセキュリティに関するリスクを全社の課題としてとらえ、全社的な枠組みとして知恵を絞って対策に取り組んでいくことが、今、強く求められているのです。
OTを特別扱いし、担当部門任せにせず、そのセキュリティに関するリスクを全社の課題としてとらえ、全社的な枠組みとして知恵を絞って対策に取り組んでいくことが、今、強く求められているのです。
