IT-OT環境の産業セキュリティ対策が難しい理由IT セキュリティ専門家が苦労する理由

IT と OT 環境が融合された環境でサイバーセキュリティを提供するには、情報セキュリティ担当者が IT と OT の違いを理解した上で両方の環境を包括的に可視化できるツールセットを利用することが必須です。

IT とオペレーショナルテクノロジー (OT) 環境の両方を運用している場合、たとえ認識されていなくても、その 2 つの環境が融合されていることはほぼ間違いありません。OT がエアギャップで隔離されていたのは過去のことです。現在の OT は IT インフラを介して接続されているので、サイバー攻撃を目論む者は重要な OT インフラに容易に到達することができます。 また、最近の OT 環境内のデバイスはおよそ半数が IT デバイスであり、両者をはっきりと区別することはほとんど不可能なことが世界中の企業を支援している当社の経験で明らかです。

その結果、IT セキュリティの担当者が気が付いてみたら OT 環境のセキュリティ対策も管理している状態が多くなり、どこからセキュリティ対策を始めたらよいのかも全く分からないという状況も多いようです。その理由は、そもそも IT 環境と OT 環境が全く異なって構築されたものだからです。 両者の属性を比較した次の表をご覧ください。

IT 環境と OT 環境の比較                            

出典:Tenable、2021/12

では、どこからセキュリティ対策を始めたらよいのでしょうか。 最初のステップとしてお勧めするのは、上の表が明らかにしているIT 環境とOT 環境の相違点を理解して、それらが担当者の考え方や態度、さらに最終的にはセキュリティに関する意思決定にどのように影響する可能性があるかを考察することです。

IT/OT環境において「セキュリティ」は何を意味する?

OT と IT 環境では、「セキュリティ」という言葉の意味が違います。IT/OT セキュリティ担当者として駆け出しだったころ、100 人近くの OT 実務担当者の方々の前で大恥をかくところだった私を、当時の同僚が助けてくれたことがありました。(今は友人である彼女は一生の恩人です。) 同僚と私は、プレゼンする資料を一緒に見直していました。プレゼンでは、OT の実務担当者は、セキュリティに目を向けて本当に優先項目と位置付けなければならないと伝えるつもりでした。彼女は、それでは集まった OT 担当者はネガティブに反応する、OT 担当者は、すでになすこと全てに対してセキュリティを第一に捉えて業務にあたっているから、「えっ、どこがいけないのか?」 と言われるだろう、と説明してくれました。私は、自分の IT の経験から、「セキュリティ」イコール「サイバーセキュリティ」と捉えていたのです。 ところが、 OT の世界では、「セキュリティ」は「安全と物理的なセキュリティ」という意味なのです。 ですから、 1 つの言葉でも大きく異なった意味があることを学びました。

なぜ IT と OT 担当者の「セキュリティ」の見方にこのような開きがあるのでしょうか。

IT では「Data is King」と言われるように、セキュリティ上の最大の恐怖はネットワークの侵害です。悪意のある者がネットワークにアクセスすれば、データの完全性が損傷されたり、データが持ち出されたりロックされて企業でさえアクセスできない状態に陥る可能性があります。それとは対照的に、OT 環境は本質的に物理的な危険を伴うため、最大の恐怖と言えば最も重要な操業を停止させるような、ひいては従業員や地域を危険にさらすような事故です。 その結果、高度の安全性を維持するばかりでなく、「常時 ON 」の操業体制を目指し、その延長として環境の物理的なセキュリティ制御を徹底しようとする動機が強く働きます。

IT/OT環境によって構造が大きく異なる

この背景を参考にすると、上の表の内容が理解しやすくなります。IT セキュリティの担当者は、だれでもどの資産でも、ネットワーク上のあらゆる場所にある、あらゆる資産やデータにアクセスできることを許可する Any-to-Any のインフラを提供できる集中管理を採用します。これはビジネスの運営に必要なシステムやプロセスを内在するワイドエリアネットワーク (WAN) です。

反対に、OT 環境はプライバシーをもっと重要視した設計で、制御に制限が付加されているのが前提になります。環境が細かく区分されていると、権限が与えられている人や資産でも、それぞれの範囲以外の資産にはアクセスできません。これはビジネスの運営をサポートするシステムやプロセスが内在するローカルエリアネットワーク (LAN) です。 ここにあるデバイスのほとんどは、各ゾーン内のデバイスと通信すればよく、外の世界と通信することは意図されていません。

IT/OT環境でセキュリティの視点が異なる

OTとITではネットワークの接続形態が異なり、セキュアであることの定義も異なることを理解すると、たとえ同一企業内であっても、双方のセキュリティ部門の優先項目や、攻撃があった場合の応答が正反対であることも、不思議ではないことが分かります。IT セキュリティ担当者は、C-I-A (機密性、完全性、可用性) の優先順位でIT 環境を捉えるのに反して、OT 担当者は、上の表にあるように A-I-C の正反対の観点で捉えています。上述のとおり、ITセキュリティにとってデータが絶対に最重要であるため、その機密性と完全性を確保することは、どんな場合でも可用性よりも優先されます。 しかし、安全性を重視する OT 担当者は、オペレーションが常に可用であって環境がスムーズに動作し、大災害に至る潜在性のある障害などがないことを必須と見なします。

このように異なる優先順位は、行動にどのように表れるでしょうか。万が一攻撃があった場合、IT セキュリティ担当者は、影響を受けたシステムをできるだけ早く隔離して停止して、問題を封じ込めてデータ漏洩を最小限に留めようとします。 しかし、 OT は反対のアプローチを取って、重要インフラの常時稼働を維持しようとするでしょう。 もちろん、攻撃によって OT デバイスが誤動作して、事業、従業員、周辺地域や住民に危険があるような場合は例外です。

IT/OT環境で使用するツールの種類

IT セキュリティ担当者が OT セキュリティにも対応しようとする場合、従来の IT セキュリティ用のツールの多くが OT 環境で機能しないという事実が最も大きな課題となります。事実、IT セキュリティのツールの中でも最も基本的なもの、例えばスキャナーが、OT ネットワークをクラッシュさせてしまうこともあります。ですから、必ず OT 環境で動作が実証されたスキャナーを選択してください。その反面、ツールを重複して使用してしまうリスクもあります。作業と環境別に必要なツールが確実に準備されることはよくても、管理面、また、作業者がきちんと使用できるようなトレーニングを提供する必要があることからも、手間のかかる問題になりかねません。

さらに、本当に複雑な問題 – どのようにしたら全く異なる環境から別々に収集したデータをすべて統合して 1 つのダッシュボードにまとめ、すべての資産を可視化してアタックサーフェス全体すべてのセキュリティ問題を優先順位付けできるかという問題 – が生じます。拡張されたアタックサーフェス全体すべての環境を包括的に表示して評価できる能力のある、充分に統合されたソリューションがなければ、セキュリティの全体像を完全に理解するのに指数関数的に膨大な時間が必要になるでしょう。 しかも、重大なセキュリティ問題を見逃してしまう、という本当の危険が伴います。

IT/OT環境の産業セキュリティボトムライン

IT/OT が融合されたネットワークの管理責任者は、両環境の違いと、OT 環境に特有の課題を理解することが絶対に必要です。 また、その理解と同様に重要なのは、 OT 環境に対応し、その上補完的な IT セキュリティツールと統合して企業のセキュリティ体制を包括的に提示できる適切なセキュリティツールを利用することです。 そして、人的およびプロセスの観点からは :

• 必ず IT セキュリティ専門の担当者が OT 責任者と顔を合わせて、OT 環境に特有な、本質的な相違点を深く理解するようにしてください。
• 時間をかけて OT のニーズと優先項目が何か、 なぜ重要なのかを理解して、IT セキュリティの考え方を OT 側に押し付けないようにしてください。
• OT 環境は、比較的最近になって外部と接続されるようになったことを理解してください。 OT 責任者は、セキュリティの成熟度の観点からはまだ初期の段階です。
• 担当者の「心をつかむこと」が第一です。ですから、一夜にして「理想的なセキュリティ」を達成させるよりも、段階的に変更を導入していくことを前向きに検討してください。

もっと詳しく

• ウェビナーのご視聴はこちらから: An Ecosystem Approach to Bettter Protect Converged IT/OT Environments (IT/OT 環境保護向上のためのエコシステムアプローチ)
• レポートをダウンロード: Forrester Wave: 産業制御システム (ICS) のセキュリティソリューション 
• Gartner のガイドを読む:  2021 脆弱性評価ガイド