DX時代、今求められる工場のあるべきセキュリティとは？

DXの時代 ──いま求められる工場のあるべきセキュリティ対策 デジタルトランスフォーメーション（DX）の潮流のなか、IoTやA（I 人工 サイバー攻撃の脅威から 4 知能）などのテクノロジーによって工場をスマート化しようという動きが 製造の心臓部を守るための 活発化しています。それに従って高まっているのが工場のサイバーリスク つのステップ です。ここでは、そのリスクを低減させる具体的で実効性の高い手法を ご紹介します。

STEP DXの時代─ いま求められる工場のあるべきセキュリティ対策 1 工場のセキュリティ侵害が経営に及ぼすインパクト ─ 欧州では70億円規模の被害も発生 周知のとおり、企業に狙いを定めたサイバー攻撃は nology）」とも呼ばれています。 ところが近年では、「Industry 4.0」や DX の潮流に 巧妙化と悪質化の一途をたどり、攻撃が沈静化する気 乗るかたちで、IoTや AI などを活用した工場のスマー 配も一切見られていません。機密情報の窃取を目的 ご存じのように、OT のシステムやネットワークは従 ト化が日本を含む世界各国で進展を見せています。こ にした標的型攻撃やランサムウェアなどを使った金銭 来、企業の情報システム（以下、ITシステム）やイン れにより、OTとIT のシステム融合が進み、OTシステ 狙いの攻撃によって、多くの企業が実害を被っていま ターネットなどの外部ネットワークから物理的に隔離 ムも、ITシステムと同じようにサイバー攻撃の脅威に す。 された環境に置かれ、インターネット越しにサイバー さらされるようになっています。結果としてサイバー攻 攻撃を受ける心配はありませんでした。 撃による工場の深刻な被害がさまざまに引き起こさ そしてここ数年来、こうしたサイバー攻撃の格好の れ、報告されています。 標的として工場の生産ラインを支える産業用制御シ もちろん以前から、OT のシステム端末がマルウェ ステム（ICS *1）が狙われ始めています。 ア感染の被害に遭うケースはありました。ただし、そ 例えば、ノルウェーに本拠を構えるアルミニウムの れは外部から工場内に持ち込まれたPCやメディア 製造企業では「LockerGoga」と呼ばれる工場を狙っ 監視制御システム（SCADA）や分散制御システム （USBデバイスなど）による被害であり、社外の人員を たランサムウェアによる攻撃を受け、ITとOT 双方の （DCS）、プログ ラマブル ロジックコントロ ー ラー 工場に立ち入らせる際のセキュリティチェック、あるい システム端末・約 1 万 5,000 台が感染し、生産ライン （PLC）などによって構成されるICSは、工場の生産設 は工場に持ち込まれるIT 機器・デバイスに対する検疫 を停止せざるをえない状況に追い込まれました。その 備に類する仕組みであり、「OT（Operational Tech- を徹底するだけでリスクは大きく削減できます。 被害総額は実に77 億円にも及んだとされています。 0 1

STEP DXの時代─ いま求められる工場のあるべきセキュリティ対策 2 工場のシステムがなぜ狙われやすいのか ─ ICSが標的にされる本当のワケを知る 工場のサイバーリスクが膨らんだ大きな要因の 1つ それに対して、工場の OTシステムは元来サイバー システム全体がどういった機器・ソフトウェアによっ は、企業の ITシステムよりも、OTシステムのほうがサ 攻撃のリスクが極めて小さい隔離された環境に置か て構成され、それぞれがどのような状態にあるかを把 イバー攻撃への備えが総じて手薄なことにあります。 れてきました。 握することは、セキュリティ対策の初めの一歩と言え る取り組みです。 企業を標的にサイバー攻撃を仕掛けてくる犯罪者 そのため、製造企業の心臓部とも言える重要システ は、多くが金銭を目的にしたプロの “ 経済犯 ”です。そ ムでありながら、OTシステムに対するサイバーセキュ OT のシステムでは、その基本的な施策が行われて うした犯罪者にとって大切なことは、より少ない手間で リティ上の防御や備えが十分ではないのが一般的で おらず、情報システム部門が知らないところで何らか より大きな成果を手にすることであり、防御の手薄な す。それゆえに、サイバー犯罪の攻撃目標にされる の機器が導入され、OTネットワークに接続されてい ところを目がけて攻撃を仕掛けてくるのが通常です。 ケースが増えてきたわけです。 ることも珍しくないというわけです。 その観点から言えば、企業のITシステムは長年にわ 実際、工場の OTシステムは、生産管理部門、ない しかも、OTシステムの場合、ITシステムに比べて たってサイバー攻撃の脅威にさらされてきたことから、 しは生産技術部門による管理下に置かれ、企業のセ 耐用年数（＝ライフサイクル）が非常に長く設定され、 攻撃への備えが充実度を増し、サイバー犯罪者にとっ キュリティ対策を司る情報システム部門がその全容を メーカーによるサポートの切れた古い OS─ ては“攻めにくい環境”へとステップアップしています。 把握し切れていないことがよくあります。 0 2

DXの時代─ いま求められる工場のあるべきセキュリティ対策 言い換えれば、セキュリティ上の脆弱性を内包した システムの再起動をかけるようなことはできないと言 OS が更新されずに使われ続けているケースが多々あ えます。 ります。 また、それと同様の理由から、OTシステムを構成 この問題は、OSを最新版に切り替えれば低減でき する何からのソフトウェアに脆弱性が発見されたとし るリスクですが、OT のシステムは基本的に24 時間 ても、セキュリティパッチをタイムリーに適用すること 365日、計画どおりのパフォーマンスで安定稼働を続 は困難です。 けることを求められています。 加えて言えば、OT のシステム端末をウイルス対策 ゆえに、OSを含むシステム全体が、生産ラインの ソフトで保護するうえでも、OTシステムのパフォーマ 厳しいパフォーマンス要件や可用性の要件を満たす ンスが計画外のマルウェア検索やウイルス対策ソフト 完成形として作られているのが一般的です。 の更新によって低下しないような配慮が不可欠となり ます。 そのため、OT のシステムを構成する古い OSを最 新版に移行するのは簡単なことではありません。 また仮に、OSを最新版に切り替えられたとしても、 OTシステムの場合、ITシステムのように非定期、かつ 頻繁に発生するOS の更新に都度対応し、計画にない 0 3

STEP DXの時代─ いま求められる工場のあるべきセキュリティ対策 3 工場のあるべきセキュリティ対策 ─ 生産設備をサイバー攻撃から守る4つの手順 　以上のように、OTシステムの場合、サイバー攻撃へ がマルウェアに感染し、C＆C サーバなどを通じた攻 の備えが不十分なうえに、ITシステムと同じ施策によっ 撃者による遠隔操作が可能な状態になります。こうし てセキュリティ上の防御を強化するのも困難です。 て端末を乗っ取った攻撃者は、内部活動によってシス では、そうした中で、工場のセキュリティを強化する テムの情報を収集して、各端末に攻撃ツールをインス には何をどうするのが適切なのでしょうか─。 トールし、マルウェアを起動させていきます（図 1）。 この答えを見出すうえで必要なのは、今日のサイ これにより、攻撃者は端末のパスワードを変更して IT バー攻撃がどのような手口によってOT のシステムに ログオンを不能にし、ファイルを暗号化してシステム 打撃を与えるかを知っておくことです。 を使用できない状態にします。そのうえで、システム 生産ライン の復旧との引き換えに金銭（データやシステムを“ 人 HMI 例えば、前出の LockerGoga のようなランサムウェ 質 ”にした身代金）を要求してくるのです。 アを使った悪質な攻撃は、多くの場合、攻撃用のメー PLC ルを企業の従業者に送りつけることから始まります。 ここで犯人の要求に従って身代金を支払えば、シス そして、従業者が攻撃用メール内のリンクや添付ファ テムが元の状態に戻る可能性はあります。 イルを過ってクリック、あるいは実行することで、端末 【図1】 攻撃者によるマルウェア感染拡大のイメージ 0 4

DXの時代─ いま求められる工場のあるべきセキュリティ対策 ただし、身代金の支払いはサイバー犯罪を助長する こうした対策を講じるうえで必要とされる手順は大 ③ 対策検討：現状把握に基づいてリスクアセスメントを ことにつながります。 きく「①体制構築」「②現状把握」「③対策検討」「④対 実施し、具体的な対策を検討する。 策実行」の 4 つに分けることができ、それぞれの内容 また、たとえ身代金を支払ったとしてもシステムが は以下に示すとおりとなります。 ④ 対策実行：検討・リスト化した対策を、コストパフォー 復旧される保証はどこにもありません。実際、プロの マンスの高い順番で実施していく。 犯罪者が第三者からの依頼を受けて、特定の企業に ① 体制構築：ITとOT のシステムを管理する両者が一 ランサムウェア攻撃を仕掛けてくることもありえます。 体となり、あるべき工場セキュリティを実現するため このうちの「②現状把握」「③対策検討」「④対策実 の体制を組む。プロジェクトチームの設置がベスト 行」のサイクルを回すことで、「あるべき工場セキュリ この場合、ランサムウェアによって標的企業の生産 だが、まずはコミュニケーションを始めるなど小さい ティ」をしっかりと運用していくことが可能になります システムを使用不能の状態に追い込んだ時点で、攻 ことから始める。 （図 2）。 撃者は目的を達成したことになり、たとえ、身代金を 受け取っても、システムを復旧させるようなことはし ② 現状把握：サイバー攻撃によって想定される事業被害 ないはずです。 の優先順位を決定し、ネットワークと人、サプライ 体 制 現 状 STEP STEP チェーンの 3 つの視点から、工場のシステム全体の 1 構 築 2 把 握 したがって、サイバー攻撃への対策として製造企業、 情報を収集・可視化する。ネットワーク視点の情報収 あるいは工場が成すべきことは、OT のシステムに対 集においては、工場のシステムを構成するすべての する攻撃の兆候を早期にとらえ、影響範囲を正確に把 端末の情報（端末の数・種類・状態・通信内容など） 握したうえで適切な対処をすみやかに実行し、被害の を可視化し、「工場内のどこに何があるか分からない」 4 対 策 対 策 STEP STEP 3 拡大を最小限に食い止めることとなります。 「端末がマルウェアに感染しても気づけない」という 実 行 検 討 リスクを低減する。 【図2】 工場セキュリティのあるべき姿 0 5

STEP DXの時代─ いま求められる工場のあるべきセキュリティ対策 4 あるべき工場セキュリティを巡る課題とソリューション 上述した4 つの手順を進める中で課題として必ず リアルタイムに解析し、エージェントレスで端末に関す • eyeSigh：t エージェントレス、リアルタイムで継続的に 浮上するのが次の 3 つの問題です。 る詳細情報を収集・可視化（リスト化）し、制御を実現 ネットワークに接続されたデバイスの検知・分類・評 する仕組みです。 価・リスト化を行う製品 ①「 現状把握」「対策実行」において、工場のネットワー クを構成する端末を可視化／管理するすべがない。 端末の情報と通信状態の把握により、端末への脅 • eyeSegment：トラフィックフローから通信相手とプロ 威侵入や新規接続端末、コンプライアンス違反を犯し トコルを判別し、デバイス間の通信を可視化する製品 ②「 対策実行」における脅威検知の仕組みがない。 ている端末などを検知することが可能です。 • eyeContro：l 制御アクションの実行と自動化を実現す ③「 対策実行」における「対処」を適切に、かつ迅速に行 さらに、不正な端末・不正な通信を検知した際に る製品 うための仕組みがない。 は、検知情報をファイアウォールやスイッチと共有し、 通信制限をかけるという対処もすみやかに実行するこ • eyeInspect：OT プロトコルの解析と脅威検知を行う これらの問題を一挙に解決しうるのが、マクニカ とができます。 製品。事前学習によるホワイトリストベースのセキュ ネットワークスが提供しているフォアスカウト・テクノ リティ検知や新規接続デバイスのリアルタイム検知・ ロジーズ社のソリューション「Forescout」です。 Forescout のソリューションには、以下の製品群が 接続制御を実現 含まれており、これらによってOTシステムを含む工場 Forescoutはスイッチとの連携などを通じて、IT・ 全体のネットワーク上で何が起きているかを可視化 • eyeExtend：既存のセキュリティツールと連携し、運用 OT のネットワークに接続された全端末の通信内容を し、適切な対処へとつなげていくことができます（図 3）。 管理を高度なレベルで自動化する製品 0 6

DXの時代─ いま求められる工場のあるべきセキュリティ対策 • ミラー通信解析 ポイント① 下位スイッチも全て連携 データセンター ミラートラフィック • スイッチ連携 Forescout は OT デバイスを網羅的に可視化 コア eyeSight スイッチ連携 • ミラー通信解析 コア 　ソリューション 下位スイッチ • ミラー通信解析 WORK ポイント② HMI STATION クローズドOT環境でもミラーポートから 通信解析 PLC / PLC / RTU RTU eyeInspect OTプロトコルも対応し詳細可視化から 脅威検知まで実現可能 上流通信ありのデバイス 上流通信なしのデバイス 【図3】 工場のシステムへのForescout の適用例 0 7

加えてマクニカネットワークスの場合、単にFo- その取り組みを安全に推進するためにも、製造企 rescout 製品を提供するだけではなく、Forescout 業は工場におけるサイバーセキュリティ対策の強化を によるIT/OTネットワークのリアルタイム監視と可視 急がなければなりません。 化・脅威検知・対処の機能を活用しながら、先に触れ た工場セキュリティ強化の 4 つのステップを包括的に そのための一手として、Forescoutを使ったマクニ 支援していくことが可能です（図 4）。 カネットワークスのソリューションの採用をご検討くだ さい。 DX 時代の製造企業にとって、デジタルテクノロジー ＜了＞ とデータを駆使しながら工場のスマート化を図ること お問い合わせ は、市場での競争優位を確保するうえで避けては通れ 045-476-2010 fsct-sales@macnica.co.jp ない取り組みになっています。 https://www.macnica.co.jp/ 株式会社マクニカ　ネットワークス カンパニー　 段階的なご提案が実施可能 〒222-8563 横浜市港北区新横浜1-5-5 TEL. 045-476-2010 ｜ FAX. 045-476-2060 STEP 1 STEP 2 STEP 3 STEP 4 西日本オフィス 可視化、アセスメント、 対策優先順位付け 検知対処の 運用自動化 〒530-0005 大阪市北区中之島2-3-33 大阪三井物産ビル14階 資産管理 仕組み導入 TEL. 06-6227-6916 ｜ FAX. 06-6227-6917 ツールを活用した現状把握 コンサル支援 IDS機能の拡張 SoC支援 →継続的な資産管理 運用負荷軽減 ツールの提供 【図4】 Forescout製品を使ったマクニカネットワークスのソリューション @Macnica, Inc. 本レポートに掲載されております社名および製品名は、各社の商標および登録商標です。