製造・物流・インフラ業界では、装置や設備をコンピュータで制御管理する産業制御システム（ICS）が事業を支える重要な役割を担っています。最近はICSを含むIT/OT統合も進み、装置・設備のプログラマブルロジックコントローラ（PLC）やセンサーから取得したデータをサーバーに収集・蓄積し、クラウド上の分析プラットフォームで分析処理を行うIIoTの導入例も増えています。例えばIIoTによって得られた情報をもとに、装置・設備の稼働状況を監視して障害予兆に利用したり、需給予測から生産数を制御して生産効率化に役立てたりといった仕組みを実用化している企業も少なくありません。

ところが、IIoTの導入が進むにつれ、大きな問題が表面化するようになりました。それが「IIoTのセキュリティ対策」です。

従来のICSは外部と物理的に隔離された状態 ―― いわゆる“エアギャップ”によって保護されているのが一般的でした。外部ネットワーク経由で脅威が侵入してくることは基本的にあり得ないため、必要最低限のセキュリティ対策しか講じられていない場合がほとんどでした。しかしながら、エアギャップによるセキュリティ対策が万全・盤石でないことは、すでに多くのインシデントが発生している過去の事例からも明らかです。とくに多いのは、ICSを操作できる立場にある関係者が起こす内部犯行であり、海外では水道処理施設の監視制御システムを開発したSIベンダーの元従業員が、個人的な恨みからシステムへ不正アクセスし、施設に被害を与えるという事件も起きていま

す。

物理的に隔離された状態であっても、上述したようなセキュリティインシデントが起きるのですから、IT/OTが相互接続されたICSではさらにリスクが高まることは確かです。たとえ普段は外部ネットワークと完全に分断する形で運用されていたとしても、装置・設備の仕様や関係者の行動に起因してインシデントを引き起こしたという事例もあります。例えばICSのリモートメンテナンスに利用するVPNへの不正アクセスによって機密情報が窃取された事件、オンサイトの保守作業員がPLCに挿したUSBメモリ経由でマルウェアが侵入し、長期間生産停止に陥った事件などが起きています。

IIoTの導入によってICSが外部ネットワークと恒常的に接続された状態になれば、もはやITと同等以上のセキュリティ対策は必須と言えるでしょう。

図1●エアギャップで保護されていてもセキュリティリスクはある

ただし、やみくもにセキュリティ対策を講じても効果が得られるわけではありません。よくあるのはITとOTとのセグメントの境界、OT各レイヤーのセグメントの境界などにファイアウォールを設置することですが、脅威の高度化・巧妙化が進みファイルレスマルウェア攻撃が蔓延する現在は、ファイアウォールだけではとても防御し切れません。そこで振る舞い検知が行えるEDR（Endpoint Detection & Response）ツールなどのセキュリティ製品を追加することになりますが、こうした製品を個別に導入すると、今度はセキュリティ運用負荷が増大することになります。

このようにICSのセキュリティリスクが高まり、セキュリティ運用負荷が増大化するという状況を受け、国際電気標準会議（IEC：International Electrotechnical Commission）はICSのセキュリティ標準「IEC 62443」を策定しました。現在はIEC 62443に準拠していることをセキュリティの調達要件として求める企業も増えています。日本国内では、このIEC 62443を参考に独立行政法人情報処理推進機構 ソフトウェア高信頼化センター（IPA/SEC）が「制御システム セーフティ・セキュリティ要件検討ガイド」を取りまとめ、公開しています。このガイドにはICSの関係者がセキュリティ対策を検討する際の基本的な考え方や手順の概要が記載されているほか、分野別のシステム構成の特徴、想定されるセキュリティリスク、その対策に必要な技術なども紹介されています。

例えば施設監視制御システムは、空調・照明・エレベーター・電気・給水などの設備のIIoT化が進んでおり、情報取得や保守サービスのために外部ネットワークに接続することを想定し、セキュリティレベルが異なる多種多様な機器が運用されていることを特徴に挙げています。ここでは外部ネットワークからの攻撃によるサービス停止、内部犯行による制御情報・制御プログラムの改ざん、機密情報の情報漏えいなどのリスクがあり、この対策としてネットワーク分離、振る舞い検知、認証基盤、セキュリティ管理システムの導入といった対策が有効であると示されています。

図2●施設監視制御システムの例

（出典：IPA/SEC『制御システム セーフティ・セキュリティ要件検討ガイド』）

https://www.ipa.go.jp/sec/reports/20180319.html

実際にICSのセキュリティ強化を推進していくには、いろいろな手段があります。その一つに「ゼロトラスト」の考え方を取り入れて適用することが挙げられます（ゼロトラストについての詳細は本コラム「IoTシステムに最適な『ゼロトラストセキュリティ』とは？」を参照ください）。

ゼロトラストとは「何も信頼できないことを前提に、すべてのトラフィック／パケットを検証・検査すること」を意味しています。主に認証の仕組みと誤解されがちですが、本来は内部・外部を問わず、すべてのリソースへ安全な方法でアクセスできるようにするプラットフォームを表しています。

ゼロトラストを適用したセキュリティ対策を進めるにあたっては、適材適所で部分最適化するというアプローチで導入された既存のセキュリティ製品を見直す必要があります。それぞれ個別の製品は連携性に乏しく、ゼロトラストによって一元管理することが難しいためです。

そこでお勧めしたいのは、ゼロトラストセキュリティに求められる機能を包括的に備え、一元的に管理できるプラットフォームを導入することです。そこにはセグメント単位で認証処理を行う認証基盤だけでなく、セキュリティログを収集・蓄積するデータプールの仕組み、インシデントを調査・分析して対処する仕組みなども含まれます。また、ネットワークやセキュリティの機能をクラウドに統合する「SASE（Secure Access Service Edge）」に基づく仕組みを導入することも有効です。

最近はICSを含むIT/OTの混在環境にゼロトラストモデルを適用するためのさまざまな製品が、ネットワークベンダーやセキュリティベンダーなどの各社から提供されています。なかにはファイアウォールからEDRツールまでのあらゆるセキュリティ機能が集約され、プラットフォーム全体で統合管理ができるソリューションも存在します。ICS/OTで取得したデータをITに蓄積し、クラウドで分析処理を行うというIIoTの仕組みを構築・運用している場合には、こうしたソリューションを選ぶとよいでしょう。

このようにIIoTのセキュリティ対策を講じる場合、ネットワーク境界に設置したゲートウェイで集中管理して内部を信頼するという方法では、確かな効力を得ることができません。まずはゼロトラストのセキュリティアーキテクチャへの移行を検討し、実際のシステム構成に合致する適切なプラットフォームの選定をお勧めします。

※文中に掲載されている商品またはサービスなどの名称は、各社の商標または登録商標です。