工場や重要インフラにおけるサイバー脅威が増加している。製造装置や産業制御システムは閉域網を前提としてきたが、遠隔監視やデータ活用の拡大、IoTの普及により、外部ネットワークとの接続が進んでいる。さらに取引先や委託先を含むサプライチェーン全体への攻撃が活発化し、OT環境におけるサイバーリスクは増大している。ただ、稼働停止の回避が優先され、セキュリティー対策を取り入れづらいのが現状だ。OT環境に迫る脅威を前に、連携やコンサルティングに活路を見いだすSIerの戦略からは、需要拡大を見据えて本格化するOTセキュリティー市場の姿が浮かび上がってくる。
（取材・文／春菜孝明）

攻撃はIT環境から侵入　対策を標準化する動きも

　OT環境に影響を及ぼすサイバー攻撃は「まず、IT環境に侵入されている」と、ラックの篠原崇宏・技術デジタルペンテスト部長は指摘する。受発注システムが停止して生産がストップしたり、IT環境への攻撃によって、OTシステムの制御が行き届かなくなったりといった事例が国内外で報告されている。
 
　独自のプロトコルやコマンドが用いられることが多い制御システムが直接、侵害されるインシデントは少ない。ただ、操作するためのPCなど「OTのためのIT」（ラックの又江原恭彦・MSSマネージドサービス部長）が存在することに留意する必要がある。保守用にUSBメモリーが持ち込まれることも想定される。このような経路で攻撃者がOT環境に侵入した場合、機器のライフサイクルが長いため、潜伏期間が長期化し、脅威に気づかないまま広範囲に被害が及ぶ可能性が高まる。

　近年は国際情勢に起因する脅威も顕在化している。中国政府による支援が取り沙汰されている持続的標的型（APT）グループのVolt Typhoonが、米国の電力や通信、交通システムに侵入するなど、対立する国家の重要インフラを標的とする攻撃が広がっている。

　可用性を阻害する懸念からOT環境にセキュリティー対策を取り入れるのは難しいとされてきたが、リスクの高まりを受け、通信を可視化するセンサーの導入が増えてきている。ラックの藤崎卓哉・MSSマネージドサービス部副部長は、既存システムへの負荷が少ないことが後押しになっているとみる。

　対策の標準化に向けた動きもある。経済産業省は2022年に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を策定し、25年には中小規模の製造事業者向けに工場セキュリティーの具体的な手順や事例を紹介する解説書を公開した。生産を止めない観点から大規模刷新を一気に進めるのは難しいが、資産管理や通信の可視化など、現場への負荷が小さい手立てから着実に講じることが、現実的な備えとなりそうだ。

サービス提供の最適解を模索

　OTセキュリティーは比較的新しい分野で、サービス提供の標準的なかたちはまだ確立されていない。SIer各社も最適解を模索する。
　NTTドコモビジネスの秋山課長は「可視化精度の向上が必要だ」と話す。OsecTでは実際に流れている通信を基にネットワークの様子を把握することはできるが、通信していない機器の存在や、機器同士の物理的な接続関係までは分からない。こうした背景に加え、システムに対して問い合わせてトラフィックを収集するポーリング機能の実装を求める声もあり、機能改善に向けて動いている。

　OTセキュリティー事業にどの程度のリソースを投じるべきかについても、判断は容易ではない。GSXでは「案件の9割5分がIT領域」（藏谷執行役員）という状況だが、OTセキュリティーの担当者を増員した。今後はeラーニングのコンテンツの拡充を検討している。同社が掲げる「サイバーセキュリティ教育カンパニー」としての存在感をOT領域でも示したい考えだ。

NTTドコモビジネスとインターネットイニシアティブ
通信検知とリモートアクセスを一体化

　NTTドコモビジネスとインターネットイニシアティブ（IIJ）は、両社のソフトウェアを組み合わせたOTセキュリティーソリューションを開発した。不審な通信検知とリモートアクセスの機能を一体で提供する。
 
　NTTドコモビジネスの侵入検知システム（IDS）「OsecT」は、NTTグループのネットワーク可視化の技術をベースに製品化された。工場内に設置するセンサーによって、端末間の通信関係を把握、一覧化し、異常なパケット量や挙動を検知。攻撃者の侵入をいち早く把握できる。

　監視情報をLTEでクラウドにアップするSaaS版と、ユーザー環境で完結するオンプレミス版の2種類を展開しており、オンプレミス版にIIJのリモートアクセスシステム「IIJ Safous」を実装したのが「OsecT SRA（Secure Remote Access）」だ。

　Safousは認証に基づくアクセスのみを許可するゼロトラスト型の製品。グローバルに設置したPoP（Point of Presence、接続点）への接続を介することで通信を制御する。元々はIT環境への導入が中心だったが、海外ではOT環境での導入事例も多かったという。サードベンダーが保守点検で工場環境に接続する際、時間帯や作業内容を限定してアクセスを許可できる点が評価されていた。

　日本でもコロナ禍を経てリモートアクセスの需要が高まる中、OT分野のパートナーソリューションとして、NTTドコモビジネスのOsecTを選択した。IIJの近藤知憲・グローバル事業本部グローバル事業推進部企画課エキスパートプログラムマネジャーは、Safousのようなポイントソリューション単体でOTセキュリティーに切り込むのは難しいとし、連携の意義を強調する。

　NTTドコモビジネスとしてもメリットがあった。Safousと一体で提供することでOsecTの監視やリモート利用のために閉域網やVPNなどの別ネットワークを敷設する必要がなくなり、セキュリティー対策を一括で提案できるようになった。両機能を同じゲートウェイ上に実装しているため、必要なハードウェアの数も抑えられる。

　NTTドコモビジネスは国内での展開を担っている。ビジネスソリューション本部の秋山和秀・ソリューションサービス部デジタルソリューション部門第四グループ（OTセキュリティ）担当課長は、単体のIDSとリモートアクセスシステムを別々に導入するよりも低価格になると強調。製造業の顧客から引き合いが多く、OEMなどでのパートナー展開も視野に入れている。

　OTセキュリティー製品を開発するベンダーの多くはグローバル企業である中で、国産ベンダーが提供することの意義もある。秋山課長は「お客様からの要望を製品開発に反映できる」と語り、リクエストに応じた機能開発に意欲を示す。

グローバルセキュリティエキスパート
FSIRT構築を支援、アセスメントに力点

　OTセキュリティーでは製品を導入するだけでなく、現場の運用や教育、インシデント対応まで含めた備えが欠かせない。セキュリティー教育を主軸とするグローバルセキュリティエキスパート（GSX）はこうした課題に対応するため（1）工場に存在する資産を洗い出す現状調査（2）資産管理に関するガイドライン策定（3）インシデント発生時を想定した対応訓練（4）工場従業員向けの教育ーを柱とするセキュリティーサービスを提供する。
 
　インシデント対応力の強化では、被害を最小限に抑えるために顧客社内で対応を担うCSIRT（Computer Security Incident Response Team、シーサート）の工場（Factory）版にあたる「FSIRT」の構築を支援する。シナリオに基づく訓練を通じて、現場の実践力向上を図っている。

　「リスクアセスメントはOT領域単体ではなく、ITとの接続部分を含めて考えることが重要だ」。こう語るのは執行役員の藏谷なほみ・サイバーセキュリティ事業本部コンサルティング統括部長だ。生産管理の基幹システムが停止した場合を例にすると、受注伝票を印刷していれば生産は継続できるものの、出荷管理や実績の集計に支障が出るなど、操業全体にどのような影響が及ぶのか想定されるリスクを明らかにする取り組みが進んでいるという。「ITかOTかという二元論ではなく、何が事業継続のリスクになるのかをお客様に考えていただいている」とする。

　複数のベンダーと連携し、OTセキュリティーをワンストップで提供する体制も整えている。アセスメントや社員教育、訓練をメインとするGSXが、構築や運用保守に強みを持つSIerとタッグを組むことで、上流のコンサルティングから運用管理までカバーしている。

　具体的には23年に兼松エレクトロニクス、テリロジーとの3社連携、25年には都築電気、クロス・ヘッド、ネットワンパートナーズの4社連携によるOTセキュリティーサービスの提供を発表した。実際の案件では、顧客の課題や環境に応じて最適な協業先を組み合わせている。

　サイバーセキュリティ事業本部の武田勇馬・コンサルティング統括部コンサルティング部2グループリーダーは協業の効果について、すでに顧客のITやネットワークを把握しているパートナーから実情を共有してもらえる点を挙げる。SOC（Security Operation Center）などの運用リソースも協業の枠組みの中で補完できるほか、成熟途上にあるOTセキュリティーについて、各社の知見を持ち寄る機会も生まれている。他社で実施したソリューション検証の結果をフィードバックしてもらうケースもあるという。