重要インフラ分野でサイバーセキュリティの重要性が高まる中、国や業界など規制においてインシデントへの対応強化が要請されるようになった。しかし、ITセキュリティに比べて異なる点も多く、課題も少なくないという。フォーティネットジャパンがエネルギー業界の動向を例に、産業制御(OT)分野のセキュリティ状況を説明した。
フォーティネットジャパン OTビジネス開発部長の佐々木弘志氏
同社 OTビジネス開発部長の佐々木弘志氏は、「OT分野もITやデジタルの導入が進展し、サイバー空間と現実空間がつながり始めている。セキュリティに取り組む上ではITとOTのマルチドメインの知識が必要とされている」と述べる。
佐々木氏は、製造業で制御システムの開発に携わり、その後は長年にわたりITとOTのセキュリティビジネスに携わりながら、経済産業省の専門官や情報処理推進機構(IPA)の専門委員、名古屋工業大学 産学官金連携機構 ものづくり研究所の客員准教授も務める。
同氏は、ITセキュリティが情報資産の安全を保持するのが目的であるのに対し、OTセキュリティでは設備資産や人命の安全が目的だと解説する。近年はOT分野でも効率性や生産性の向上、コスト最適化を目的に、事業者単体だけでなくサプライチェーンを通じたITの活用が進む。これに応じてOTでもサイバー攻撃などの脅威やリスクが高まりつつある。
実際に、米国ではランサムウェア攻撃を受けたColonial Pipelineで石油パイプラインの稼働が停止したり、国内でも取引先のランサムウェア被害からトヨタ自動車が国内工場の稼働停止に追い込まれたりするなどのインシデントが発生している。このため、OT分野でのサイバーセキュリティ対策環境の整備が急務となった。佐々木氏は、OT/ITのサイバーセキュリティが国家の安全保障にも関わる課題だと指摘している。
各産業界でサイバーセキュリティの環境整備も進み出した。例えば、エネルギー業界では2023年12月21日に、「高圧ガス保安法等の一部を改正する法律」と「認定高度保安実施事業者制度」が施行された。前者では新たに、事業者においてサイバーセキュリティに関する重大事案が発生した場合に、IPAに原因究明の調査を依頼することが可能になった。後者では、ガスや電気などの事業者の認定基準においてサイバーセキュリティの確保が新たに追加された。
佐々木氏によれば、前者については従来のインシデントの予防だけではなく、サイバーセキュリティにまつわるインシデントへの対応も事業者に求めるようになった点が大きな変化だ。特にインシデント対応でIPAが調査に関与することは、エネルギー関連事業者にとって新しい部分になる。ここでは、サイバーセキュリティのリスクがインシデントの直接的な原因となるケースだけではなく“関係性が疑われる”ケースも対象になるという。
事故調査対応のイメージ
「事故(インシデント)調査は、事業者の報告を受けて国が必要と判断すればIPAも携わることになる。国の機関も対応するということは当該業界にとって非常に重要なことを意味する」と佐々木氏は述べる。IPAが調査に関わる場合は、書面による調査と現場の調査が行われ、最終報告書が作成される。一連の調査では、影響の可能性があるシステムや機器、ネットワークなどの各種ログデータの保全や分析といったことが実施される。事業者側もこうしたことを可能にしておかなければならず、新たな対応コストとノウハウや人材などの不足が問題になる。
後者については、例えば、ドローンによる設備点検やITで高度なエネルギー管理を可能とするスマートビルのように、“スマート”化がキーワードになる。スマート化が進めばサイバー攻撃などの脅威やリスクも高まるため、ITシステムの枠を越えたサイバーセキュリティの確保が必須となる。経済産業省は、事業者の認定基準に取り入れることで、事業者側にサイバーセキュリティ対策を促すのが狙いだ。
名古屋工業大学 名誉教授 ものづくりDX研究所 客員教授の越島一郎氏
名古屋工業大学 名誉教授 ものづくりDX研究所 客員教授の越島一郎氏は、「OTでもIT導入が進み、経済産業省の事業者認定では毎年の検査を実施しなくとも最長8年の認定(スーパー認定事業所制度)を受けられ、事業者にとってはコスト削減などのメリットがある。これはリスクベースの考え方であり、サイバーも同じ視点になる」と解説する。上述のドローン点検などの活用が進むことで熟練人員の不足に対応できるなどのメリットが事業者側にあるが、同時にサイバーセキュリティの確保が実質的に必須となる。
ただ、事業者側にとってサイバーセキュリティは、未知にも近いテーマだという。例えば、2010年9月にイランの原子力関連施設で発生した事故は、「Stuxnet」と呼ばれるマルウェアが混入するUSBメモリーを何者かが施設に持ち込み、施設で使われていた管理システムにこのUSBメモリーが接続されてシステムがStuxnetに感染し、事故が起きたとされている。
このケースに照らせば、事業者側では施設の入退室やUSBメモリーなどの利用状況、人物の行動を撮影した監視カメラの映像といった全てをログやデータとして保全し、万一の場合はそれらを分析して調査しなければならない。ITセキュリティでは長年の経験やノウハウ、実施例が多くある一方、OTではこれまで実施されるケースが少なかった。
佐々木氏は、「実は、事案においてサイバーの関与が疑われるということを証明するのがとても難しく、事業者側は『関与していない』と思いたいが、関係していないという事実を証明することも非常に難しい」と指摘する。
フォーティネットジャパン OTビジネス開発部 マネージャーの藤原健太氏
同社では、経済産業省のセキュリティ点検項目をベースにしたOT事業者向けのウェブでのセキュリティの実施状況をチェックできるサービスを提供している。OTビジネス開発部 マネージャーの藤原健太氏によれば、3月19日時点で約358件の利用があり、約8割が「未実施」「一部実施」の状況だった。
同氏は、OTのセキュリティ対策においては、平時における予防と有事の対応の2つが重要であり、有事の対応を実現する上ではやはり平時における予防へ適切に取り組んでいることが肝心だという。その上で有事の対応を実践できる人や組織の体制面と運用面を整備する。多くの事業者が「未実施」「一部実施」をいう現状を踏まえて、まずは現状の把握やリスク評価に着手することが必要だとした。
OTセキュリティで必要な視点
