OT（Operational Technology：運用技術）という言葉を聞いたことはありますか？ あまりなじみがないという方が多いかもしれませんが、OTは私たちの生活を支える技術やテクノロジーです。例えば、工場や製造現場、ガスや電気などのインフラ施設、信号などの交通制御システムなど、さまざまな場面で活用されています。

DX推進に注目が集まるなかでOTに関するセキュリティが注目されています。それはなぜなのか、またOTとITはどう違うのか、どんなセキュリティ対策があるのか、こちらでは具体的に紹介していきます。

キャリアマップ編集部 文／ITライター 深谷歩

デジタルトランスフォーメーション（DX）とは、組織やビジネスプロセスを革新し、デジタル技術を活用して新たな価値を生み出していくことです。近年、リアルタイムで高度なデータ処理や自動化技術、AIによる予測分析などが進展するにつれ、より多くの領域でDXが推進されるようになりました。

そしてDXを進めるなかで、OTセキュリティの重要性が増しています。OTは主に製造業や産業設備において、物理的なデバイスやプロセスを制御・監視し、実際のオペレーションに関連する技術やシステムです。

これまでOTは独立して利用されていましたが、現在はインターネットに接続されることが増えたため、OTがサイバー攻撃の標的になるリスクが急増しています。OTセキュリティ対策が整備されていなければ、OTがセキュリティの穴となり、DXの推進を阻む可能性があります。

特にエネルギー、製造、医療、交通、廃棄物管理などで利用される産業制御システム（Industrial Control Systems：ICS）はOTに含まれ、ICSの脆弱性を悪用する攻撃が増加しており、これらに備える必要があります。ICSが攻撃対象となると、例えば電力網の停止や工場生産ラインの停止などのように経営にも大きな影響を及ぼすリスクがあるからです。

では、OTセキュリティはITセキュリティとどう違うのでしょうか。

まずITシステムは、情報の管理や処理、通信技術に関わるもので、パソコン、サーバー、ネットワーク機器などが使われています。OTシステムは特定の産業や製造現場におけるシステムに特化しており、工場のロボット、製造ラインのセンサー、エネルギー設備の制御システムなどが使われています。OTは機械やプロセスを制御・監視することが中心で、ITはデータや情報を扱うことが中心と捉えるとわかりやすいでしょう。

セキュリティについては、ITは主に情報の取り扱いに関わるため、データの機密性や完全性、可用性を確保することに焦点が当てられており、サイバー攻撃による情報漏えいやデータ侵害への対策が求められます。一方OTの故障は、機械の停止など物理的な影響を引き起こすため、安全性や可用性を優先しています。しかしOTがインターネットに接続されるようになり、ITと同様にサイバー攻撃の脅威にさらされるようになっています。

OTが攻撃された場合、システムの停止にとどまらず、情報の漏えい、データの破損、さらにはサプライチェーンの停止、インフラの損傷などのリスクもありえます。OTが利用されている医療機器が影響を受ければ人の命に関わることもあります。

なお、サーバーやデータベースなどのITのシステムは4～6年ほどの比較的短いサイクルで入れ替えが行われる一方、OTシステムは数十年にわたって稼働し続けるケースがあります。OTには古い機器が使われ続けていることも多く、それを理解する人材が不足しており、セキュリティパッチを適用することさえ難しいことがあります。また、OTネットワークには、サーバーや産業用ファイアウォール、I/O（入出力）デバイス、組み込み制御デバイス、IIoT（産業用IoT）センサー、カメラ、バックアップ電源など、さまざまな種類のデバイスが含まれることもセキュリティ対策を難しくしています。

OTシステムを安全に保つために、次のようなことが必要です。

・資産インベントリ管理

ネットワーク内外のすべてのOTシステムの機器、構成、接続などをリアルタイムで確認できるようにすることが必要です。OTの場合、関連する機器だけで孤立して接続しており、社内ネットワークやインターネットには接続していないケースも多くあるので可視化しにくい場合があります。全体を管理できていれば、攻撃を受けた場合でも、攻撃対象を迅速に把握でき、問題の発生源を特定しやすくなります。

OT環境への攻撃を防ぐために、OT専用ファイアウォールや対マルウェア対策、侵入防止システムなどのセキュリティソリューションを導入して、ネットワークを保護します。そして、システムや情報にアクセスできるユーザーを定義するアクセス制限の方針を定めます。OTは業務上の必要からリモートアクセスを可能にしている場合がありますが、アクセスできるユーザーを最低限にする、安全なリモートアクセスができるようにするなどの対応が必要です。そして、資産インベントリ管理に基づきエンドポイントにある機器の保護として、セキュリティパッチの適用を行い脆弱性に対応します。物理的なアクセスについても、関係者以外は立ち入りを禁止するなど保護が必要です。

ネットワーク内での異常な動作を特定できるようにします。ネットワーク侵入検知システム（NIDS）、ホスト侵入検知システム（HIDS）などを導入し、ネットワークやデバイスのトラフィックやパケットを監視し悪意あるパターンを識別します。

セキュリティインシデントが発生した場合の対応と回復のための計画と手順を定めておきます。あらかじめ、脆弱性や未承認のネットワーク構成変更、不正侵入などのリスクを分析し、リスクが発生した場合の対策を決めます。OTの場合は、機器の停止や切断が大きな影響を及ぼすことから、最小限の影響でとどめられるような対策を検討しておく必要があります。対策として、日常的にリカバリーが可能なバックアップファイルの確保することも重要です。

調査会社のガートナー社は2025年までに、サイバー攻撃者がOT環境を物理的に損傷させる手段を確立すると予測しています。またOTシステムには、ITセキュリティの脅威が5年遅れて来るともいわれており、単一のセキュリティ対策ではなく、多段階のセキュリティ対策が必要になるとされています。

OTのインシデントによる中断は、深刻な影響を与え損害も多大なものになりかねません。しかしITセキュリティと同様に対策を行うことで、被害を軽減することはできます。まずはインベントリ管理や不要なアクセスIDの削除、セキュリティパッチの適用、バックアップの実施など、できるところから対応し、必要なセキュリティシステムの導入を検討することが求められます。

学生の皆さんにとってOTシステムは遠い存在に思えるかもしれません。しかし、この分野の知識を身に付け、スキルを磨けば、近い将来、就職する際にも有利になる可能性があります。私たちの日常を守る大切な仕事になるので縁の下の力持ち的な存在になることができます。まずは工場や発電所など私たちの生活を支える場所でどのように活用されているのか、これを機会に調べてみてはどうでしょうか。