OT (Operational Technology) という言葉を目にする機会が増えたIT管理者の方は多いと思います。これまで、ITとOTは分離された環境の中で独自に進化してきましたが、それぞれの技術革新が進み、両者のコンバージェンスが求められるようになりました。スマートファクトリーなどは、その代表例でしょう。そして、ITとOTの融合は、両者を統合する新しいセキュリティ対策を必要とします。本連載ではIT管理者の方向けに、ITとOTの違い、ITとOTを統合した次世代のセキュリティ対策について、わかりやすく解説していきます。

OTの特徴とは?

OTとは、工場などで利用されている制御技術の総称です。OTは一般的に、センサーや駆動装置等の被制御システム、ワークステーション等のからなる制御側システム、両者を仲介するPLC (Programmable Logic Controller) などのシステムから構成されます。

被制御側のシステムは、用途に応じて多くの種類が存在します。ほとんどの場合、制御側システムと被制御側システムは同一のメーカーから提供され、特定用とに最適化された独自のプロトコルを使って通信します。

OTの特徴は、設備更新の間隔が長いこと、汎用性は求めずリアルタイム性や効率性を重視すること、高い次元での運用の継続性が求められることなどになります。また、誤動作は人命に関わる問題となることから、安全性の確保も最重要要件となっています。

ITとOT、何が違う?

ITとOTの違いを理解する第1歩として、まずは筆者の経験談を紹介しましょう。インターネットやIP技術が急速に普及した1990年台中頃、まだOTという言葉は生まれていなかった時代のことです。

ネットワーク機器を取り扱う専門商社に勤務していた筆者は、取引先のメーカーからある相談を受けました。シリアル信号をIPでカプセル化して送受信できる装置を開発しよう考えているが需要はあるだろうか、というものです。この時代のOT環境は、制御装置と被制御装置とをシリアルケーブルを使って1対1で接続するのが一般的でした。結果として、太くて硬いシリアルケーブルが無数に敷設されることになります。EthernetやIPというIT技術を駆使して、OT環境のインフラストラクチャを抜本的に改善しようという野心的な企画でした。

EthernetやIPを利用するメリットは、ITの知識があれば容易に想像できます。1対多の通信が可能になるのでケーブルの敷設数を大幅に減らせますし、機器の追加や移動といった構成変更にも柔軟に対応できます。何よりも、シリアルケーブルに比べてはるかに高速な通信が可能になります。有望な企画と考えた筆者は、伝手を頼って、現在でもOT機器製造の大手企業の方にお話を聞く機会を設けました。その時に伺った以下のコメントが、衝撃的なものだったのです。

「再送制御前提のEthernetなんて使い物にならないよ。ましてや、IPなんて論外。最小伝送単位が64バイトというのも大きすぎる。自分たちが求めているのは、1ビットを高速かつ最小の遅延で確実に伝送する技術なんだ。現在の技術では、シリアルケーブルより優れたものはないと思うよ」

確かに、制御側と被制御側が1対1でつながっているのであれば、装置のON/OFFなどの簡単な制御は1ビットのシリアル信号で行えます。多少複雑な制御であっても、数ビットの信号の組み合わせで実現できるでしょう。効率が最優先されるOT環境では、無駄は徹底的に排除されるということを実感した瞬間でした。

ITの世界では、再送制御などの技術は、汎用性や拡張性を高めるために必須のテクノロジーです。それらがOT環境では、効率を低下させる無駄として扱われてしまうのです。結局、この企画は実現せず、お蔵入りとなってしまいました。スイッチ技術がCSMA/CDによる再送制御を過去のものとした現代では、高速化されたEthernetはOT環境でも広く使われています。また、一部ではIPも利用されるようになりました。しかし、効率性を最重要視するという基本姿勢は変わっていません。

インダストリアルネットワークが抱える課題とギャップ

OTのセキュリティとは?

認証や暗号化といったセキュリティの基本となる機能も、効率性を損なうプロセスとして、OT環境では通常は実装しません。それでは、OT環境のセキュリティ対策はどのようになっているでしょうか。その答えは孤立化です。

サポート期限が切れたOSでもインターネットにつながなければ大丈夫だよね、という会話はITの世界でも頻繁に耳にします。外部から完全に遮断するという孤立化を、入退館の物理セキュリティを含めて徹底的に行い、IT的な視点では極めて脆弱な環境を保護してきたのです。しかし、孤立化によるセキュリティの確保は限界を迎え、ほころびが生まれます。効率化という最も重要な目的のために、外部との接続が必要となったためです。

具体的な一例として、生産管理を考えてみましょう。需要に即した数量を生産し、在庫を必要最小限にとどめることは効率性の観点から極めて重要です。そして、販売数量など需要を予測するために必要なデータは、外部にあるIT環境で管理されています。従来は、これらのデータを人を介してやり取りすることで、OT環境の孤立化を維持してきました。

しかし、技術の発展によって状況が変わります。IT環境にあるデータとOT環境の生産設備をリアルタイムに連携させることで、さらなる効率化が可能になったのです。ITとOTとを連携することで得られる利益は、生産管理以外のさまざまな分野に及んでいます。

では、孤立化からの脱却した、ITとOTを統合したセキュリティ対策はどのようにすればよいのでしょうか。異なる特性の環境を統合することになるため、運用面でも技術的にも大きな転換が必要です。

ITネットワークとOTネットワークの境界にファイアウォールを設置して厳密なアクセス制御 (ホワイトリスト型のアクセス許可) を実施している企業を数多く見かけますが、OT環境全体のセキュリティ対策としては不十分です。例えば、機器のメンテナンスに持ち込まれたPCからマルウェアが侵入した場合は、ファイアウォールでは防ぐことができません。ITでは必然となっている、内部不正への対策も必要でしょう。

手探り状態が続く中で、大規模なインシデントも発生しています。2017年に大流行したWannaCryは、自動車産業の工場などのOT環境にも大きな被害をもたらし、被害総額は4,000億円を超えるといわれています。

現代において、IT管理者にとってのOTセキュリティは他人事ではありません。本連載が、IT管理者の皆様がOTセキュリティに対する理解を深めるきっかけとなれば幸いです。

著者プロフィール

○花檀 明伸

Tenable Network Security日本法人のSecurity Engineer。脆弱性スキャナとして有名なNessusのほか、IT/OTを統合した包括的なセキュリティ製品であるTenable.io、Tenable.sc、Tenable.ot等を担当。NetScreen、Cisco、FireEyeなどのセキュリティ企業を経て2016年から現職。