DXの進展で深まるIoT／OT領域のセキュリティ課題【第4回】

OTデバイスにおけるセキュリティの課題

　OTデバイスには、PLC（Programable Logic Controller）、RTU（Remote Terminal Unit）、産業用制御システム（ICS：Industrial Control System）、分散制御システム（DCS：Distributed Control System）、SCADA（Supervisory Control And Data Acquisition：監視制御・データ収集システム）、空調制御（HVAC：Heating, Ventilation and Air Conditioning）システム、HMI（Human Machine Interface）などが含まれる。

　OTデバイスは通常、その数量は少ないが、組織内での価値は高い。攻撃者がOTデバイスにアクセスし、重要インフラに損害を与えた場合、組織だけでなく一般市民にも壊滅的な打撃を与える可能性がある。

　近年は、ランサムウェアによる被害がより大きくなっている。その攻撃の多くは、重要インフラに焦点を当てており、数千人に影響を与えている。例えば、米フロリダ州の水道会社に対する攻撃では、攻撃者は小規模な水道施設に侵入し、地域住民を毒殺しようとした。米ニューヨーク市では、小さなダムのコンピューター制御装置に侵入する攻撃があった。

　これまでOTデバイスは、物理的に隔離されセキュリティの確保が容易なエアギャップシステムにしか設置されていなかった。それが、企業のDXへの取り組みが進み、環境内にあるアイテムとの接続が増加してエアギャップが少なくなり、守るべき領域が拡大することで、セキュリティの確保が困難になってきている（図1）。

図1：エアギャップの現象により守るべき領域が拡大し、OTデバイスのセキュリティ確保が困難に

　より多くのOTデバイスがネットワークに接続されるようになってきたことで、攻撃に対しては、より脆弱になっている。さらに多くの組織では、HVACシステムや製造システムなどのOTデバイスの保守や障害対応にサードパーティベンダーを利用している。それらベンダーが攻撃の標的になる可能性があり、サードパーティベンダーを経由したサプライチェーンのセキュリティリスクをさらに高めている。

IoT／OTデバイスのセキュリティに対する責任者が不明瞭

　IoT／OTデバイスのセキュリティに対しては、上述したデバイス固有の課題に加え、「誰が責任を持っているか」といった問題も大きい。パスワードの管理とローテーションは誰が実施すべきなのか？ 誰がこれらデバイスの安全性を担保しているのか？ などである。

　実際、IoT／OTデバイスのセキュリティの責任者が誰なのかは、必ずしも明確ではないことがよくある。セキュリティチームかネットワークチームか、設備チームかビジネスオーナーか、あるいはカメラなどのIoTデバイスを所有・運用しているグループだろうか？

　右図の様に、恐らくセキュリティチームとIT部門は、IoT／OTデバイスの存在と、その使用方法をほとんど認識していない。IoT／OTデバイスは、その性質上、物理的な改ざんや、インターネット経由でのソフトウェア攻撃、ネットワークベースの攻撃、ハードウェアベースの攻撃を受け、組織のネットワークに対し潜在的な侵入ポイントになる可能性があるにもかかわらずだ。

　すべてが順調に稼動している場合には、IoT／OTデバイスの所有権は不明瞭で良いかもしれない。だが、いったん侵害や義務が発生すると、多くの場合、セキュリティチームが責任者になり、問
題や要件に対処する責任を負うことになるケースが、ほとんどである。

　つまり現代においては、組織のセキュリティチームは、ITだけではなく、IoTやOTなど新しい分野のセキュリティを確保するための対策についても検討していく必要性に迫られている。

　今回は、IoT／OTデバイスに対するセキュリティ面での課題について説明した。次回は、それら課題を解決するためのIoT／OTへのセキュリティ強化対策について解説していく。