マクニカ
ゼロトラスト 2025.03.24

工場のゼロトラスト~IoT/OT端末をリスクに基づいて動的に通信制御する最新手法~

はじめに

「工場のゼロトラスト」をテーマに、工場内にあるIoT/OT端末をどのようにセキュアに維持するかについてご紹介します。

目次

1. IoT/OT環境の変化と課題
 - 外部公開Attack Surfaceが悪用されたインシデント事例
2. IoT/OTのゼロトラスト
 - 拠点・工場のゼロトラストの現状
 - 拠点・工場のゼロトラストの理想
3.まとめ

1. IoT/OT環境の変化と課題

近年、「Society 5.0」という概念が注目されています。この概念は、IoTやビッグデータ、生成AIなどの技術を活用し、働き方や生活の質を向上させることを目的としたものです。特に、工場においては、スマート工場化やDX(デジタルトランスフォーメーション)化の進展により、環境の変化が顕著になっています。工場のスマート化は、設備利用の最適化だけでなく、生産性向上を目的としています。

従来、OT環境は閉域ネットワーク内で運用されていましたが、DXの進展により、IoT機器を含む多くの端末がインターネットや企業のデータセンターに接続されるようになっています。これにより、OT環境外部の端末が接続されるケースが増え、セキュリティリスクが拡大しています。

現在、企業に起こっている環境変化について、3つの例を紹介します。

  • デバイスの増加と多様化
    • DXの推進により、IoT機器やBYOD端末の増加が顕著に。2025年には、世界で約400億~440億台のデバイスが稼働すると予測される
  • クラウド利用の増加
    • リモートワークの拡大に伴い、社内データのクラウド移行が進み、どこからでもアクセス可能になる一方、セキュリティ管理の課題も
  • オフィス環境とOT環境のハイブリッド化
    • 本社と工場のネットワークが相互接続されるケースが増え、結果としてセキュリティリスクも増大

スマート工場化やDXの推進において、今まで未接続だったものがネットワーク接続されること、IoTをはじめとしたさまざまなデバイスが活用されることで、サイバーセキュリティの影響範囲が拡大しています。

サイバーセキュリティの観点からは、以下の3つの課題が浮き彫りになっています。

  • 可視性の欠如
    • IoT端末の利用が増加しているものの、約8割の企業が端末の可視化や管理ができていないというデータが
  • 攻撃の増加
    • 可視化されていない端末が標的になり、サイバー攻撃が年々増加
  • 統合セキュリティの欠如
    • 古いOSや未適用のパッチが原因で、半数以上のデバイスが攻撃対象となり、脆弱性が放置されてしまう

近年、製造業を中心に、ランサムウェア攻撃が増加しています。2017年以降での製造業におけるインシデントでは、約半数がランサムウェアによるものであり、大きな被害をもたらしています。最近の攻撃では、外部公開されたシステムの侵害が増加しています。具体的には、公開されたネットワーク機器やサーバーの脆弱性を悪用し、直接社内に侵入する手口が主流となっています。DXに伴いOT環境にもネットワーク機器を設置する環境も出てきており、これにより、IT環境のみならず、工場環境にも影響が拡大していることが、最新のインシデント情報から明らかになっています。

スライド7.JPG

外部公開Attack Surfaceが悪用されたインシデント事例

外部公開されたサービスが関与するインシデントの特徴や事例について説明します。

現在、主流の攻撃手法として、インターネットに公開されている脆弱なサーバーが標的となるケースが増えています。具体例として、管理が不十分なRDPサーバーや脆弱なVPNサーバーが挙げられます。こうしたサーバーでは、日々クリティカルな脆弱性が発見されており、攻撃者は常時これらを狙うことが可能で、これは従来のUSBWebメール経由の攻撃と異なる特徴です。

実際のインシデントの流れとしては、攻撃者がVPNサーバーや脆弱なネットワーク機器を特定し、内部への侵入を試みます。その後、認証情報を取得し、社内ネットワーク内を横展開(ラテラルムーブメント)しながら攻撃を進めるという手法が一般的になっています。

外部公開されたネットワーク機器を狙ったインシデントの事例として、特に影響の大きかった事例を紹介します。

この事例では、アメリカの石油企業がインシデントの被害を受けました。脆弱なVPN経由で攻撃者に侵入され、パイプラインの停止や身代金の要求を受ける結果となり、数億円規模の損害が発生しました。原因は、レガシーなVPNの脆弱性を突かれ、アカウント情報が取得されたことにあります。製造業や工場を持つ企業にとって、こうした攻撃は生産ラインの停止など深刻な影響を及ぼします。そのため、OTセキュリティの強化が近年ますます重要になっています。

スライド10.JPG

2.IoT/OTのゼロトラスト

ここからは、実際にIoT/OT環境に対してどのようにゼロトラストを実装していくかについて説明します。

拠点・工場のゼロトラストの現状

現状では、企業として可視化/把握できている端末は一部に限られています。近年は、拠点やOT内にIoT端末やBYODの利用が増えており、企業が管理できていない端末が社内に多く存在しています。その結果、可視化されていない端末がセキュリティ上のリスクとなり、管理の死角が生じている状況です。加えて、これらのIoT端末やBYOD端末は、企業としてエージェントベースでの導入が難しいケースが多く見受けられます。そのため、エージェントベースの管理が困難で、すべてのデバイスを可視化・管理できないことが課題として挙げられています。

スライド0.JPG

拠点・工場のゼロトラストの理想

拠点内のIoT端末/OTのゼロトラストを実現するためには、現状可視化できていない死角となるデバイスを網羅的に可視化することが、セキュリティを考慮する上で重要なポイントとなります。特に、IoT端末やBYOD端末を含めたすべてのデバイスを可視化し、セキュリティ状態を把握した上で適切なアクセス制御を実施することが不可欠となります。

スライド1.JPG

IoT端末を含めたゼロトラスト化を実現するために、最近SASE製品の中では、SD-WANゲートウェイによるIoTデバイス向けのソリューションがリリースされています。

自宅や外出先などのリモートで業務を実施するOA環境に導入する環境に対しては、PCSASEエージェントを導入することで可視化し、制御する形になります。(導入できるOSやデバイスはメジャーなもののみが基本

拠点内にあるIoT端末に対しては、SD-WANゲートウェイを設置することで、SD-WANゲートウェイ配下のIoT端末やBYOD端末をエージェントレスですべて可視化し、アクセス制御を実施することが可能になります。(IoT端末などのメジャーではないOSも可視化可能) 

また、OT環境に対しては、OT環境特有のプロトコルなどに広く対応しているDragosなどのOTセキュリティ製品を導入いただくことで、OT内の産業機器やOTネットワークの監視、制御を一元的に管理することが可能になります。

スライド2.JPG

SASE製品でIoTデバイス向けのソリューションがリリースされたことにより、OA環境のセキュリティだけでなく、拠点内にあるSD-WAN配下のIoTBYODデバイスを可視化、制御を一元的に管理できるようになりました。

従来は、端末の可視化やNAC(アクセス制御)、インターネット側のセキュリティなど、目的に応じて複数の製品(スイッチ、NAC製品、SSE製品)を導入する必要がありました。SASE製品でのIoTデバイスエージェントレススキャンの機能を利用することで、端末の可視化やアクセス制御をSASE製品に統一して管理することができます。拠点内のIoT端末の可視化や制御についてはSD-WAN側で実現し、インターネット側のセキュリティについてはSSE側で可視化や管理が可能となるのです。

スライド3.JPG

【従来の端末可視化方法】

  • 従来は、IPやアプリケーション帯のトラフィックを用いた可視化が主流
  • トラフィックなどのIPレベルで可視化するため、デバイスの種別やどの端末が危険な通信を実施しているかのより詳細な情報まで可視化するのは困難

【拠点内の非管理端末(IoT/BYOD端末)】

  • 拠点内のIoT/BYOD端末に対しては、SASE製品のデバイスインテリジェンスを用いて、端末種別や製品ベンダー、端末内の脆弱性などのリスク情報などをより深く可視化し、
    管理端末、非管理端末を分類
  • デバイスインテリジェンスを活用し、定常的にデバイスに潜むリスクを可視化することで、リスクに応じた動的なアクセス制御することでゼロトラストを実現

【OT環境内の非管理端末(産業機器/IoT端末)】

  • OT環境内の産業機器やIoT端末などに対しては、DragosなどのOT向けの製品を活用することで、エージェントレスで工場内のデバイスを網羅的に可視化し、制御
  • OTに特化したインテリジェンスを活用し、脅威や脆弱性情報、ネットワークトポロジなどを常に監視し、可視化
  • OT環境への導入の重要なポイントは、"可用性"。Dragosなどの製品は、外部のネットワーク機器との連携やミラーポートなどを利用することで、導入時にOTシステムやネットワークを止めることなく、導入可能

スライド4.JPG

IoTBYOD端末が急速に増えている中で、可視化するためのデバイスデータは非常に重要になります。SASENetskope製品では、デバイスインテリジェンスを用いた可視化や分析だけでなく、様々な手法でデバイスデータを収集できます。 

デバイス情報の収集方法としては、外部製品とのAPI連携や、別途Netskope"Cloud Exchange"というモジュールを活用し、外部のSIEM等の製品がもつデバイス情報をデバイスインティジェンスに共有することで、より詳細にデバイス情報を可視化します。この方法を活用することによって、SASE製品で用意されているデバイスインテリジェンスだけでなく他の製品からデバイスデータを取り込むことが可能となります。

スライド5.JPG

Netskope製品の例をもとに、SASEで実現するIoT端末の可視化やアクセス制御の全体像をご紹介します。

 ①デバイス情報収集:まずはじめに、SD-WANゲートウェイに接続しているIoT端末を含むすべてのデバイス情報の収集を実施
 ②デバイスを分類:収集したデバイス情報を、デバイスインテリジェンスを活用し、端末に潜む潜在的なリスクを可視化し、デバイスを分類
 ③デバイス情報を共有:分類したデバイスをSD-WANオーケストレータへ共有し、提供された情報をもとにセグメンテーションポリシーを作成
 ④セグメンテーションポリシーの適用:SD-WANオーケストレータ側で作成したポリシーをSD-WANゲートウェイに反映
 ⑤セグメンテーションの実行
 ⑥ポリシーで許可された通信が許可

上記のようなステップで、各拠点にある端末すべてを詳細に分析し、リスクに応じた動的なアクセス制御を実施することが可能となります。

例えば、非管理端末については、企業の社内リソースへのアクセスを禁止や、打刻機は企業の勤怠管理システムのみアクセスを許可するなど、端末に応じて、適切なアクセス制御を実現することでセキュリティをより強固にすることができます。

スライド6.JPG

SASE製品でリリースされたIoTデバイスインテリジェンスを活用することで、拠点内の管理端末だけでなく、IoTBYODなどの非管理端末などに対してもセキュリティを拡張することができるようになりました。

一方で、OT環境については、OT環境特有のプロトコル(ModbusProfibusなど)や、多種多様な産業機器やネットワーク、幅広いOSなどが存在します。OT環境に対してセキュリティ導入を検討する際には、先述の通りDragosなどのOT向けの製品を導入することで、OT特有の産業機器、IoT機器、OTネットワークなどを一元的に管理し、NACについても外部のネットワーク機器と連携することでセグメンテーションをすることが、現実的な手段になります。

スライド7.JPG

3.まとめ

IoT/OTセキュリティに関する課題として、IoTや工場環境における課題をご紹介し、こうした課題に対してどのように対応するのか、IoT/OT OTセキュリティを実現するためのソリューションをご紹介しました。

IoT/OT環境へも攻撃が広がり増加している背景もあり、この機会にOA環境だけでなく、IoT/OT環境のセキュリティについてもご検討されてはいかがでしょうか。その際には、拠点に対してはSASE製品やIoT関連のソリューションなど、OT環境に対してはOTセキュリティ製品など自社にあった製品を選ぶことをお勧めします。

本記事の内容は、ゼロトラDay2024にて講演した内容です。動画でも配信しておりますので、ぜひご視聴ください。

動画はこちら1.2.png

メルマガ登録バナー(セキュリティ).jpg

RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ