IT／OT融合時代の包括的なサイバー対策には経営層の主導が不可欠

　「IT（Information Technology：情報技術）は機密性を最優先するが、OT（Operation Technology：制御・運用技術）は可用性が最優先になる。それだけにITのセキュリティ対策をそのままOTに適用するのは難しい」──。NTTデータ テクノロジーコンサルティング事業本部 テクノロジーコンサルティング事業部 統括部長の星野 亮 氏は、こう指摘する（写真1）。

写真1：NTTデータ テクノロジーコンサルティング事業本部 テクノロジーコンサルティング事業部 統括部長の星野 亮 氏

ITとOTの包括的なサイバーセキュリティ対策が必要に

　製造業を取り巻く外部環境は大きく変化し、ものづくり企業は、さまざまな戦略課題への対応が求められている。それを解決するための取り組みが、スマートマニュファクチュアリング、スマートファクトリーといったスマート化だ。

　スマート化を進めるには「（1）生産環境の包括的な管理、（2）進化するサイバー攻撃の対策、（3）新たな法規制への適応という3つのステップが必要になる。その推進では、IT領域とOT領域の包括的なサイバーセキュリティ対策が必要になる」と星野氏は強調する。

　OT領域におけるサイバーセキュリティインシデントに関する調査結果によれば、OTのインシデントの89％が生産活動に影響し、56％が4日以上の中断を引き起こし、平均4億円の経済損失をもたらしている。2010年代までは特定の企業や産業を標的にする攻撃が主流だったが、近年はランサムウェアの拡散や国家レベルのサイバー攻撃が顕著になっている。「サイバー攻撃はもはや単なるハッカーのいたずらではなく、組織的なビジネスになっている」（星野氏）

　OTにおけるサイバーセキュリティインシデントの要因はこれまで「資産の管理不足」が主だった。近年は通信環境の多様化に伴い「ITネットワークの侵害がOTネットワークに伝搬」や「リモートアクセス経路からの侵害」といったインシデントが2大要因になっている。

　そのうえでITとOTのセキュリティの違いとして星野氏は「セキュリティの3要素であるCONFIDENTIALITY（機密性）、INTEGRITY（完全性）、AVAILABILITY（可用性）」のそれぞれに相違点がある。セキュリティの基準やプロトコル、サービス目標などによってITとOTのセキュリティ対策は異なり、独自のアプローチが求められる」と説明する（図1）。

図1：ITとOTにおけるセキュリティの違い

　だが星野氏は、「IT／OTセキュリティ対策のあるべき姿として『現場同士が仲良くしましょう』だけでは連携は難しい。経営層が主導する意識が必要だ」と指摘する。「経営層がITもOTも含めたセキュリティ全体に対しコミットメントしたうえで所掌を明確化する。予算も経営層が確保すべきである。そのうえで部門同士が連携し、言葉や技術・スキル、システム環境などの障壁を壊していくことが大事だ」（同）とする。

　そのためNTTデータは、ITとOTの統合セキュリティ対策を横河デジタルとの協業で推進している。NTTデータがITセキュリティ分野の、横河デジタルはOT環境の、それぞれの知見を生かし、コンサルティングからソリューション、マネジメントサービスの運用までを支援する（図2）。

図2：NTTデータと横河デジタルはIT／OTの融合時代に向けたセキュリティ対策を協業で実現している