CPS(IoT/OT)セキュリティ 2022.07.12

工場セキュリティ、どこから始めればいいの？セキュアな環境づくりの第一歩となる"資産管理"のススメ

3行でわかる！本記事のサマリ

・工場ごとに独自のネットワークや設備を持ち、統合的な資産管理ができず、可視化や検知、対処が困難。

・対策としては、資産管理を重視し、可視化から始め、現状把握と管理を行った上で、最適なセキュリティ対策を実施することが重要。

・Forescoutによって、資産の可視化、脅威検知、制御が可能な環境を整備することが可能。

はじめに～国内企業における工場セキュリティの実情～

　製造業における重要な生産拠点となる工場では、近年スマートファクトリ―化やDX推進などが加速し、大きな環境変化が起こっています。なかでも、従来つながっていなかった機器同士がネットワークによって接続され、生産設備内のデータを活用することで業務効率化や新たな価値創造につなげる取り組みが進んできています。PCはもちろん、製造設備やIoTセンサーなど多くのものがネットワークにつながったことで、OT環境におけるサイバーセキュリティによるリスクはこれまで以上に高まっていることは間違いありません。事実、2021年は米水道施設へのサイバー攻撃をはじめ、米石油パイプラインや世界大手食肉加工会社へのサイバー攻撃など、産業インフラを狙った攻撃が急激に増えた年でした。実は国内の製造業でもサイバー攻撃の被害にあった事例も出てきているほどで、工場を含めた各種インフラに対する脅威は確実に高まっています。

しかし、国内企業においてはOT環境への十分なセキュリティ対策が実施できている企業は少ないのが現実です。セキュリティ事故に遭遇、もしくは危険を感じたことがある企業が30％に達しているものの、6割以上の企業でセキュリティ対策にかける費用は予算の10％未満にとどまっているという調査データもあるほど。デジタル化に向けた環境整備が十分でないだけでなく、同業他社含めて被害にあった企業との接点が薄く、現状でも対岸の火事として捉えている企業が多いのも事実でしょう。対策すべき項目が不明瞭な点も、OT環境におけるセキュリティ対策が進んでいない背景にあると考えられます。それでも、現時点で多くの問い合わせが寄せられているなど、日本企業においても危機意識が醸成されつつあることは間違いありません。

現場の現状と顕在化する3つの課題

　OT環境におけるセキュリティ対策を考える前に、向上をはじめとした日本の製造現場はどのよう状況にあるのでしょうか。多くの製造業では、複数ある工場ごとに分散したシステムが展開されており、それぞれの工場で独自のネットワークや設備およびIoTセンサーといった機器資産を保有しているケースが一般的です。そのため、攻撃者から見た侵入ルートは多様化していると言えます。機器自身の管理も工場ごとに行われており、統合的な資産の管理が実施できないのが現実でしょう。

　また、生産設備を停止させることは経営的なインパクトが大きく、IT環境に比べてOT環境は止めることができない仕組み。可用性第一で運用しているため、攻撃の可能性だけでシステムは停止することはできない状況にあるのです。そんな製造業における工場セキュリティの課題についてヒアリングをすると、大きく3つの課題に大別できます。「可視化／管理ができてない」「検知の仕組みがない」「対処ができない」というものです。

キャプチャ2.JPG

現場には、製造設備を管理するためのさまざまな端末が設置されていますが、なかには管理が十分に行われていないものや脆弱性を抱えたままの端末がある可能性もあります。これら端末の状況が十分に可視化できておらず、そもそも管理自体が十分に実施できていないケースが散見されます。また、管理外の端末が接続されたとき、または攻撃と思われる通信やマルウェア感染したときに検知する仕組みが備わっていないという課題も顕在化しているところです。さらに、そもそもインシデントへの対処方法が明確になっていないとったことも課題として挙げられるのです。

工場セキュリティにおける対策ステップ

これらの課題に対処するためには、具体的にどんなセキュリティ対策が必要になるのでしょうか。ここで、2つの事例を紹介します。サイバー攻撃事故がきっかけで工場セキュリティを検討したA社では、脅威検知の仕組みとしてOTIDSの検討から始めました。しかし、工場内に設置された各スイッチにセンサーを展開する必要があり、コストと工数の面でソリューション導入に至りませんでした。また、予備機として確保している端末も含め、末端のデバイスまで情報が取得できないなど、十分な対策とはなり得なかったのです。

一方で、可視化を前提に、OTの資産管理ソリューションから検討したB社では、守るべき対象を明らかにしたうえで資産管理を導入し、最低限のセキュリティレベルを担保することから始めました。その結果、資産管理の徹底によってリスク把握が容易になり、万一の際にも迅速なインシデントレスポンスが可能な環境が整備できたのです。資産管理から始めることで、IDSの設置も効果的となり、結果としてコストダウンにつながった好例でした。実際の事例から考えると、まずは3つの課題のなかでも資産管理を使った可視化から始めることで、工場全体のセキュリティレベルを段階的に高めていくアプローチが最適です。このステップをしっかりと踏襲していくことが重要なポイントとなってきます。

具体的なステップとしては、まずは工場セキュリティにおける体制をきちんと構築したうえで、しっかりと現状把握を行い、資産管理を行うことで網羅的な可視化を行っていくことからスタートすべきです。そして資産管理によって工場内の資産が可視化できた段階で、実際の対策検討やその実行に進んでいくことが、継続的なセキュリティ対策には重要になってくるのです。

もちろん、管理対象となる端末がオフラインの場合は、資産管理ツールなどを用いて情報を収集することは難しいところです。その意味では、Excelなどを用いた個別の管理台帳も合わせて活用しながら、資産管理のエージェントがインストールできる端末は自動的に情報を収集し、エージェントが導入できないものはネットワーク上にあるスイッチなどから情報を収集したり端末のトラフィック情報を収集したりしながら、全体の資産状況の可視化に努めていくことが必要です。

キャプチャ3.JPG

工場セキュリティ向上に向けた具体的なソリューション

　そんな工場セキュリティにおける資産管理ソリューションの1つとして有力なのが、FORESCOUTと呼ばれるソリューションです。資産管理機能によって可視化を実現するeyeSightやデバイス制御などを行うeyeControl、優れた自動化によって運用監視の負担軽減を可能にするeyeExtendなど、モジュールごとに利用できるようになっており、必要に応じて柔軟に拡張していくことが可能です。なかでもeyeSightは、情報取得の方法が多岐にわたっており、詳細な情報を取得するエージェントでのアプローチだけでなく、エージェントレスでの対応も実現しています。また、資産管理機能だけでなく、DPIによる脅威検知技術が備わったeyeInspectと呼ばれるモジュールを活用することで、IDSの機能までも1つのプラットフォーム内で拡張していくことができます。さらに、導入済みのEDRで端末を隔離したり、SIEMと連携することで統合的な解析を行ったりなど、すでに投資した環境を無駄にすることなくOT環境のセキュリティ強化が可能な点も大きなメリットの1つです。

キャプチャ5.JPG

FORESCOUTであれば、特に他社製品のように各種センサーを現場に数多く展開せずとも、工場内の各スイッチから末端のデバイス情報を円滑に収集でき、網羅的な可視化に向けた環境整備が容易です。もちろん、エージェント展開が可能なIT側の資産情報も1つの環境で統合管理できるだけでなく、統合ログ管理のSplunkと連携することで、Excelなどで管理されたオフライン端末の情報とシステム上で管理されている情報との突合が可能になるなど、工場全体の資産管理を柔軟に行うことができるソリューションとなっています。

OT環境におけるセキュリティ対策は、まずは資産を的確に把握したうえで継続した管理が可能な資産管理を徹底し、そこから脅威検知や制御などが可能な環境を整備していくというステップを経ていくことが重要です。多様なデバイスが管理できる網羅性と柔軟な拡張性を兼ね備えたFORESCOUTであれば、投資コストを押さえながら自社に最適なセキュリティ対策が実装できるはずです。