事業継続性を考慮した工場セキュリティ対策はハッカー視点で考える【第6回】

実運用を考慮し生産継続性を高める設計などのノウハウが必要に

　パデューモデルとゾーン・コンジット設計の効果は、防御力を高める点に着目されがちだ。だが、これらの手段をどこまで緻密に実施するかが、有事の際の耐久力、すなわち生産継続性に大きく影響する。

　IT（Information Technology：情報技術）セキュリティでは一般的に、サイバー攻撃を検知すれば、すぐにネットワークを切り離し、原因究明（フォレンジック）を実施する。だが、ネットワークを切り離すと生産が止まってしまう工場においては、切り離しの判断が遅れ、結果的にマルウェアによって生産設備が停止するなど、より甚大な被害をもたらすことがある。

　これに対し、パデューモデルとゾーン・コンジット設計を適切に実施したうえでサイバー攻撃を検知すれば、例えば、攻撃がまだ到達していないネットワークだけを切り離し暫定生産することで、生産継続が可能になる（図4）。

図4：OTセキュリティのネットワークの切り離し方法

　さらにフォレンジックの際には、ゾーン・コンジット設計により通信先を容易に特定できるため、迅速かつ効率的な原因究明が可能になる。結果、復旧の早期化が図れ、攻撃によるダウンタイムを最小限に抑えられ、事業の継続性を確保できる。

　多くの担当者は、工場をセキュアにするためには、パデューモデルとゾーン・コンジット設計が重要なことは理解している。しかし、これらの対策は一般的に可用性とのトレードオフになる。つまり、セキュリティを強化する一方で、システムの使い勝手や生産性を低下させる可能性がある。

　理論上はセキュリティに優れたパデューモデルやゾーン・コンジット設計であっても、実際の運用では可用性が優先されることが多い。例えば、メンテナンスの迅速性を重視するあまり、パデューモデルを迂回するリモートアクセスの接続口が設備系ネットワークに設けられたりする。このような場当たり的な対応は攻撃者の侵入を許しやすく、結果、生産の長期停止など事業継続が困難になる可能性が高くなる。

　従って、パデューモデルやゾーン・コンジット設計を導入する際は、可用性とセキュリティのバランスを慎重に検討し、サイバー攻撃を受けても製品供給が続けられるか、すなわち有事の生産能力と保有している在庫数が供給量を下回る前に復旧できるのかを考えて設計するなどのノウハウが必要になる。

　次回は、OTセキュリティにおいては自社を守ることに主眼を置きがちだが、実はステークホルダーを守るという視点での対策が重要なことを解説する。