• Column
  • 問われるサイバーレジリエンス

OTセキュリティの最優先課題はすべての資産に存在する脆弱性の可視化

「重要インフラ&産業サイバーセキュリティコンファレンス」より、テナブルネットワークセキュリティジャパン シニアセキュリティエンジニアの阿部 淳平 氏

木村 慎治
2024年4月3日

OT(Operational Technology:制御技術)システムを対象にサイバーセキュリティ対策を打つためには、現状やリスクの把握が不可欠だ。サイバーリスクの把握とその軽減策立案を支援する「サイバーエクスポージャー管理」を手掛ける米テナブル日本法人のシニアセキュリティエンジニアである阿部 淳平 氏が「重要インフラ&産業サイバーセキュリティコンファレンス(主催:インプレス、重要インフラサイバーセキュリティコンファレンス実行委員会、2024年2月14日〜15日)」に登壇し、OTセキュリティの基本となる可視化手法などを解説した。

 「OT(Operational Technology:制御技術)環境のセキュリティ対策において最優先すべきは可視化だ」−−。サイバーエクスポージャー管理のためのツールなどを開発する米テナブルの日本法人でセキュリティエンジニアを務める阿部 淳平 氏は、こう指摘する(写真1)。

写真1:テナブルネットワークセキュリティジャパン シニアセキュリティエンジニアの阿部 淳平 氏

 サイバーエクスポージャー管理とは、サイバーリスクを把握し、その軽減策を考えること。テナブルは、サイバーエクスポージャー管理のためのツール「Tenable One(テナブルワン)」を開発・販売し、組織のサイバーリスク軽減を支援する。全世界で4万3000社以上の顧客企業を持つ。

OTとITのコンバージェンス(融合)がOTセキュリティをより困難に

 OTの概念について阿部氏は、「物理的装置や工程を監視・制御するハードウェアとソフトウェアの技術であり、物理プロセスの自動化に向けたICS(産業用制御システム)を含む広範囲の概念だ。ICSはセンサー、アクチュエーター、コントローラーなどで構成される」と説明する。

 そのうえで阿部氏は、OTセキュリティとIT(Information Technology:情報技術)セキュリティの違いをこう話す。

 「OTセキュリティは稼働の継続性と安全性が重視される点でITとは異なる。機器のライフサイクルが長いことも特徴だ。認識しておかなければならないのは、OT環境は業界や組織、工場ごとで大きく異なっていることである。個々の状況に応じたセキュリティ対策が必要であり、まずは現状がどうなっているのかを調査しなければならない」

 OT環境のセキュリティ対策としては、対象システムをネットワーク的に隔離する「エアギャップ」の手法が広く浸透している。だが、「昨今のOT環境はオフラインのみでの運用は困難であり、ITと同様なセキュリティ対策が必要だ」と阿部氏は指摘する。

 OT環境とIT環境の接続点が増え、OT環境のセキュリティ対策は「OT機器のみに限らず、IT機器やIoT(モノのインターネット)機器、クラウドなどを含めた包括的なアプローチが必要になっている。こうした状態を『IT/OTコンバージェンス(融合)』と呼び、ITデバイスとOTデバイスを分けて管理することは、ますます難しくなっている」(阿部氏)。