工場や重要インフラを狙うサイバー攻撃が現実のものとなった今、製造装置や産業制御システムといった、「OT」領域に関わるセキュリティー製品やサービスの需要拡大が確実視されている。OTはITと異なる世界と見られがちだが、セキュリティー対策の観点では、IT領域で培った知見やノウハウを活用することが可能であり、ITベンダーにとってはビジネス拡大の機会と捉えることができる。OTセキュリティーの最新動向や、販売パートナーが扱える製品などについて、NTTコミュニケーションズ（NTT Com）、米Nozomi Networks（ノゾミネットワークス）、米Forescout Technologies（フォアスカウト・テクノロジーズ）日本法人の各キーパーソンに話を聞いた。
（司会・進行：週刊BCN編集長 日高彰）

汎用的な技術の採用でIT側の脅威がOTにも押し寄せる

――OT領域に対するサイバー攻撃の脅威が高まっていると言われていますが、国内の企業や組織はどのようなリスクにさらされているのか、皆さんのご認識をお聞かせください。

加島（NTT Com）　IT領域と同じく、グローバルの視点では国家間の対立など地政学的な問題に起因するものが多くなっています。また、インターネットに晒されているOT機器が多く存在するため、大量のトラフィックでWebサイトを落とすような攻撃が海外のOT領域で発生しています。国内ではOT領域そのものへの攻撃は報じられていませんが、港湾のコンテナターミナルや、病院、自動車工場など、OTの環境が含まれる組織がサイバー攻撃の被害に遭っています。
 
李（フォアスカウト）　コンテナターミナルの機能が止まってしまったケースは、ITとOTが混在する中で発生した攻撃の事例でしたが、今後は時間が経てば経つほど、ITとOTの区別はなくなっていくと思います。
 
橋本（Nozomi Networks）　OT領域の機器はかつて専用品でしたが、汎用化しTCP/IPでつながるとなれば、サイバー攻撃の対象としてリスクが上がります。DXの推進で、OTがIT側やインターネットと間接的にでも繋がるとさらに侵入の可能性が高まります。また、より多くの開発者がOT領域の機器上で動くアプリケーションを手がけるようになり、セキュリティーよりも他の要件への対応を優先して作成されたプログラムが増えていることで、ここ数年で攻撃対象となる脆弱性も飛躍的に増加しています。IT側の脅威がOTに押し寄せるケースはより増えるでしょう。
 
――工場やビルなどに設置されている制御盤などは、外見は昔と同じ専用機器に見えても、今はその中身は汎用のITがベースになっているものが増えていますね。

橋本（Nozomi Networks）　WindowsやLinuxで動いている機器も多いです。ただ、現場の人は制御装置の画面しか見ないので、その裏で何のOSのどのバージョンが稼働しているかを気にすることはありません。ですので、OTの領域にIT側の人が乗り込んで、セキュリティー対策を進めていく必要があります。

李（フォアスカウト）　地政学的な問題や国家レベルの関与の場合、侵入後すぐには攻撃をせず、潜伏してタイミングを計って実行することが多いとされます。まだ報道例が少なくても、決して安心できません。また、これまではIT側に侵入してOT側に被害を及ぼすケースが中心でしたが、最近は直接、OT領域を狙うケースも増えています。

――OTセキュリティー対策の必要性について、企業の認識や取り組みの進捗はいかがでしょうか。

李（フォアスカウト）　グローバルでOT領域の被害事例が増え、大手企業の間ではもはや対岸の火事とは思われなくなりました。数年前は、OTセキュリティーの話をしても「興味深いですね」で終わっていましたが、今ではお客様の認識は大きく変わっています。ただ、IT領域のセキュリティーは企業全体の経営課題の一つになっているのに対して、OT領域は工場単位など部分対策に留まっています。一方で、グローバル展開する日本企業では、海外拠点がいち早くOTセキュリティーを導入することが多いです。それは、海外の法規制のためで、そのような流れが日本にも波及し、今後取り組みが加速することを期待しています。

橋本（Nozomi Networks）　対策が必要とわかっていても、「どこから手を付ければ良いか分からない」というお客様も多いです。そういった方には、OTセキュリティーでもIT領域で培った経験、知識は生かせるので、同様のステップを踏んで取り組みを進めましょうとアドバイスしています。まず、ITとOTの領域をセグメント化して両者の間にファイアウォールを導入しましょう、というインフラの整理から始め、その後に当社製品の導入を提案したこともあります。

加島（NTT Com）　当社は元々ネットワークの会社なので、LANの設計などを数多く手掛けており、その一環としてOT領域の一部の構築も行ってきました。ITとOTの領域が交錯しているお客様もかなり存在していましたので、まずは、そこを可視化して、セグメンテーションしたり、インテリジェントな機器を導入するなどの取り組みを5～6年前から進めてきました。最近はDXの進展とともに、IT側でOTセキュリティーの運用も担う流れが加速しており、具体的な商談につながっていると感じます。

対策のゴールはITと共通　異なるのはプロトコルと影響度

――OT領域のセキュリティー対策を進めるにあたり、IT領域における対策と違うのはどのような点でしょうか。

加島（NTT Com）　導入するソリューションは異なるものの、事業継続を担保するというゴールは一緒です。止まると困るシステムのリスクを洗い出して、優先順位を付けて、対策を実施するもので、対策の手法が異なるだけです。

橋本（Nozomi Networks）　パートナーとの間では、「これまでIT側で培った経験や技術は生かせますよ」という話をしています。違いとなるのはプロトコルと、何か起こった時の影響度合いです。

――プロトコルや、影響度の違いとは。

橋本（Nozomi Networks）　TCP/IPを使用しているのは同じでも、パケットのペイロード（データの中身）の部分が各社独自であったり、業界特有であったりします。そのため、IT側では、新しいプロトコルに適応するのと同じように仕様を学ぶ必要があります。影響度については、OTが落ちると生産や出荷の停止につながるだけでなく、場合によっては人を傷つけたり、爆発事故が起きて人命を奪ったりすることにもなりかねません。そうした深刻な事故に直結する可能性が、IT領域に対する攻撃が発生したときよりも高いと言えます。

李（フォアスカウト）　お客様はOTセキュリティーの必要性は理解していますが、インシデントの発生確率や、どのくらい業務が止まりいくらの損害が出るか、といった指標を出しての会話は、まだなかなかできておらず、私たちにとってもそこが悩みです。

加島（NTT Com）　OT領域はケースによってプロトコルも違えば、インパクトも異なるため、一つの指標でリスクを示すことはできません。そのため、個々のコンサルティングの中でお客様にヒアリングしながらの対応になっています。

――製造業や重要インフラの領域では、近年セキュリティー対策のフレームワークや、業界ごとのガイドラインが相次いで策定されていますね。

加島（NTT Com）　5年ほど前は、制御システム向けの国際的なセキュリティー標準である「IEC 62443」くらいしかありませんでしたが、最近では、経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」の話を、お客様の側から持ち出されることも増えてきました。それだけOTセキュリティーの裾野が広がってきたのだと思います。

橋本（Nozomi Networks）　ISAC（アイザック）と呼ばれる、セキュリティーに関する情報共有の組織が業界ごとにありますが、参加企業はその取り組みに注目していると思います。他にも、大手メーカーが製品のサプライチェーンに連なる企業に向けてセキュリティー対策を求めるケースが増えています。

李（フォアスカウト）　ただ、意識の高いお客様は対応に前向きですが、強制力があるわけではないので、国内の取り組みはまだまだ一部の企業にとどまっていると感じます。これに対して、例えばEUのセキュリティー規制の「NIS2指令」には、ITだけでなく、OTも含めて対策を実施することが明記されています。しかも、罰則が規定されているため強制力があり、欧州でビジネスをしているお客様は対策が必須となっています。

アセット管理を入り口に脅威の検出・対応へと対策を拡大

――ここからは具体的な対策についてお聞きしたいと思います。OT領域のセキュリティーについては、どこから手を付けるのがセオリーでしょうか。

加島（NTT Com）　本来はポリシーや体制、ルールづくり、教育から始めるのが正当な手法と思います。しかし、個人的な体感ではそこから手を付けるお客様よりも、まずは可視化製品を入れてみるケースが多いように思います。また、機器を使うのではなくあえて人海戦術で工数をかけて、工場内で攻撃対象になり得るアセットの棚卸しを実施するお客様の例もよく目にします。これは生産現場ならではの文化かもしれません。

橋本（Nozomi Networks）　まずはアセットを把握するため、“管理対象外の資産”の有無などを可視化するため、IT側の担当者がOT領域を調査することから始まるケースが多いです。その過程で機器等のバージョンが分かり、脆弱性の内容も分かるので、インシデント発生時に、原因のあたりが付けられるので対応が加速します。それだけでも大きな前進だと思います。

李（フォアスカウト）　販売パートナーの視点では、お客様のネットワーク環境が複雑化しているので、まずはそこから手を付けましょう、という提案をきっかけに、コンサルティングや製品導入につなげていくというシナリオが考えられます。

――OTセキュリティー向けに提供されている製品やサービスとしては、どのようなものがありますか。

加島（NTT Com）　IT機器ではアンチウイルスソフトや、最近はEDR（Endpoint Detection and Response）など、端末にエージェントを入れて集中管理する対策が中心ですが、OT領域の機器ではエージェントが入れられなかったり、エージェントを入れると機器メーカーのサポートが受けられなくなったりすることがあります。このため、ネットワーク側でパケットを見て判断する必要があります。具体的には、ネットワークに接続される機器の可視化と異常検知をするIDS（侵入検知システム）が中心になっています。

橋本（Nozomi Networks）　OT領域におけるアセット検出と管理に最も大きなニーズがあり、次にトラフィック内容の理解とセグメンテーション、トラフィック制御、脅威検出と続いていきます。これまでの当社のアプローチは、パッシブな形でネットワークトラフィックを取得し、多くのOTプロトコルに深く対応することでアセットを検出、管理するものでしたが、今年からはよりアクティブなアプローチにも取り組みんでいます。パッシブで取得した情報をポーリング（定期的な問い合わせ）し、アセットインテリジェンスと照合してより正確で深い情報となるような強化をします。エンドポイント用のエージェントも提供しており、これを使用するとインストールされているソフトウェアの管理も可能です。さらに、OTに特化した特定のプロトコルでアセットを探して、より多くの資産の情報を取得するものもあります。今後は、マルウェアが侵入した際に、自動隔離や実行を阻止する機能を実装する計画です。三菱電機とのパートナーシップにより、産業分野で広く使用される同社のPLC（プログラマブルロジックコントローラー）にセキュリティー機能を組み込む取り組みも進めています。

李（フォアスカウト）　当社は大きく二つの系統の製品をラインアップしています。一つはOT環境向けの「eyeInspect」、もう一つがIT環境に特化していたソリューションで、デバイスを網羅的に可視化、分類、評価する「eyeSight」と、不正なデバイスのアクセス制御を実施する「eyeControl」があります。最近の海外事例を見ると、非常に多数のデバイスが存在しており、どこにセンサーを設置すれば良いか判断できない場合にeyeSightを使用する例も多いです。まず、eyeSightでスイッチと連携してアクティブに情報を取得し、端末の集中ポイントを把握。トラフィックを解析するセンサーをそこに設置するというアプローチが目立ちます。組み込みでは、以前よりスイッチに組み込んでトラフィックを解析するソリューションも提供しており、大量のセンサーを導入するケースと比較して低コストなため、お客様に高く評価されています。

加島（NTT Com）　当社は総合リスクマネジメントサービス「WideAngle」を提供していますが、その中でOT環境向けに、リスクを可視化し脅威・脆弱性を検知する国産セキュリティー製品の「OsecT（オーセクト）」をご用意しています。一番の特徴は、使い勝手に優れていることです。工場などの現場には、セキュリティー対策や管理ができる人がいないという事情があります。そのため、コロナ禍のタイミングでクラウド側の機能拡充を一気に進め、クラウド経由でOT環境を管理できる仕組みを提供しましたが、それがとても好評です。インターネットとの接続を不安視する声もあるため、当社は専用線でクラウドと現場を繋ぐ閉域網のソリューションも提供しています。アプリ自体も内製化しているので、コストを抑えつつ対策ができます。特に、製造業の多くはセキュリティーに多額の投資ができないケースが少なくないことから、好評を得ています。

市場が伸びない要素はないパートナーと共に販売を拡大

――拡販に向けた営業戦略を教えてください。

加島（NTT Com）　当社は「ドコモビジネス」のブランドの下で事業を展開しており、携帯電話のイメージをもたれやすいのですが、セキュリティー市場での活動への認知を高めるため、業界団体やコミュニティーの活動により積極的に参加していきます。そして、当社の営業活動だけでOTセキュリティーの拡販をしていくのは限界があるので、パートナー網を強化し、OsecTを商材として扱っていただくことに注力しています。この販促モデルによって中堅以下の製造業にも裾野を広げることができます。また、最近は製造業だけでなく、医療、放送、社会インフラなどのお客様も増えています。インフラ系では、地場のパートナーの方と組んでビジネスをするケースが多くなりました。当社がOTセキュリティーを扱う背景としては、DC（データセンター）をグローバルで展開しており、その空調・照明などを含めた制御を長年手がけていたことがあります。そのため、ビルも主要なターゲットです。

橋本（Nozomi Networks）　国内では現在4社のパートナーに一次代理店を務めていただいています。ネットワークからエンドポイントにまで対応したソリューション群があり、組み込み型の製品、そして使い勝手を高めるクラウドサービスを商材としてご用意しています。また、無線系のモニタリングにも注力しており、不正な電波の監視にも力を入れています。現在は製造業が中心ですが、最近は、サプライチェーンを含むDXの急拡大と共に、物流や倉庫といった業種からの引き合いも増えています。

李（フォアスカウト）　私たちも認知度の向上は大きなテーマです。当社にはITセキュリティー製品もあるので、IT側からOT側へ展開する提案に注力しています。これまではITだけ、OTだけを扱ってきたパートナーの方々もいますが、プロトコルや対象機器は異なるものの、セキュリティーという視点は共通です。応用できる技術、ノウハウも多いので、双方を扱ってもらえよう勧めています。合わせて、オンプレミス環境からクラウド環境への移行の提案にも注力します。そのためのツールも提案ノウハウもあるので、パートナーの方々と共にビジネス拡大に取り組みます。

――OTセキュリティー製品の販売に関心を持つITベンダーに向けたメッセージをいただけますでしょうか。

加島（NTT Com）　以前は個別にご提供していたOsecTを、3年ほど前から通信サービスと同様にメニュー化した商品に変更しました。これにより、パートナーの方々が商材としてより扱いやすくなったと思います。実際、24年度の秋からOsecTへの問い合わせが驚くほど急増しました。25年度はかなりのビジネス拡大が期待できると考えています。その流れからも、より多くの方々にOsecTを扱ってもらいたいと考えています。

橋本（Nozomi Networks）　調査会社米Gartner（ガートナー）の「セキュリティのハイプ・サイクル」を見ると、サイバーフィジカルシステム（CPS）のリスクマネジメントが黎明期に入り、今後しっかり取り組むべきという機運が業界で高まっています。また、ガートナーがCPS保護プラットフォームの「マジック・クアドラント」を発行し、OTセキュリティーが一つのカテゴリーとして認識されたことも注目要素です。国内でも法やガイドラインの整備が進み、コミュニティーが活発化しており、市場が伸びない要素はないと思います。ITセキュリティー製品を扱ってきたパートナーの方々は、OTのプロトコルを学べばこれまでの知見を活用できるので、ぜひ、共にビジネス拡大に取り組みましょう。

李（フォアスカウト）　体感的にも、本格的にOTセキュリティーを検討されるお客様は増えていますし、商談につながる機会自体も増えています。当社の営業担当は限られるので、そこをパートナーの方々にカバーしていただき、ニーズをしっかり拾っていきます。繰り返しになりますが、ITとOTセキュリティーを含めた総合的な提案をすればビジネス拡大につながります。多くの方々に当社製品を扱ってもらいたいと思います。