/ OTセキュリティとは
OTセキュリティとは
OTセキュリティとは、専用のソフトウェアで産業プロセスを自動化するOTシステムをサイバーセキュリティの脅威から保護するための対策と制御です。情報技術とOTの融合によって産業システムの自動化と効率化が進む中、OTセキュリティは重要インフラの管理に欠かせない機能となっています。
ITセキュリティとOTセキュリティの違い
ITシステムは人やデバイス、ワークロードなど、さまざまな用途を想定して設計されているのに対し、OTシステムは特定の産業用アプリケーションを自動化する目的で設計されているため、両者を保護する方法は大きく異なります。
課題の一つとして挙げられるのが、技術のライフ サイクルです。ノートパソコンやサーバーなどのITシステムのライフ サイクルが4~6年であるのに対し、OTシステムのライフ サイクルは数十年に及ぶこともあります。つまり、OTセキュリティ対策の中には古くなったインフラに依存せざるを得ないものや、パッチも適用できないものが少なからず存在するということです。
OTシステムの中には規制が厳しいものもあります。例えば、米国食品医薬品局(FDA)の規制では診断機器のメーカーに対し、導入日から20年間にわたりサポートすることを義務付けています。また、OTシステムは事業部門によって管理されており、CIOやCISOがこれらのシステムの調達、管理、保護に責任を持つことは通常ありません。
しかし、OTとITのセキュリティには、どちらもインターネットまたはパブリック ネットワークへの接続に対する依存度が高まっているという重要な共通点があります。
OTサイバーセキュリティが重要な理由
数年前までは、OT資産はインターネットに接続されていなかったため、マルウェアやランサムウェア攻撃、ハッカーなどのWebを介した脅威にさらされることはありませんでした。その後、DX化の推進やITとOTの融合が拡大するにつれて、多くの組織がインフラにポイント ソリューションを追加して、パッチ適用などの特定の問題に対処するようになりました。こうしたアプローチの結果、システム間で情報が共有されない複雑なネットワークが生まれ、管理者側も十分な可視性を得られなくなったのです。
産業用制御システム(ICS)とは、さまざまな産業プロセスを管理するデバイス、制御装置、ネットワークのことで、業務と収益源を維持するうえで非常に重要な役割を果たします。監視制御およびデータ収集(SCADA)システム、分散制御システム(DCS)、カスタマイズされた各種アプリケーションなどの一般的な産業用システムが侵害されると、組織に大きな被害をもたらす可能性があり、サイバー攻撃の格好の標的となります。
ITとOTのネットワーク セキュリティを融合する理由
多くの場合、ITとOTのネットワークには異なるシステムが使用されています。OTネットワーク部門はCOOの、ITネットワーク部門はCIOの監督下にあるため、組織のエコシステム全体でアクティビティーを総合的に追跡できません。それぞれの部門がエコシステム全体の半分だけを保護することになり、結果的にセキュリティと脅威に対する管理作業の分断と重複が発生し、組織がサイバー脅威にさらされるリスクが増大します。
運用環境におけるOTセキュリティ
OTシステムには、センサー、モニター、アクチュエーター、発電機、産業用ロボット、プログラマブル ロジック コントローラー(PLC)、リモート プロセッシング ユニット(RPU)のほか、現在では産業用モノのインターネット(IIoT)の一部であるその他の技術も含まれます。OTデバイスの中には取り扱いに危険が伴う機械もあり、関連するサイバー リスクが増大する中で、こうしたデバイスのセキュリティを確保することが人の安全にもつながるため、適切な対策が求められます。Gartnerは、サイバー犯罪者が2025年までにOT環境を武器にして人間に物理的な危害を加えるようになる恐れがあると予測しています。
OTセキュリティのベスト プラクティス
現在普及しているセキュリティ ソリューションと同様に、運用技術も多岐にわたりますが、効果的なOTセキュリティ戦略を実現するには次のような点が求められます。
- 環境をマッピングする。担当部門がネットワーク内のすべてのデバイスのデジタル ロケーションをリアルタイムで特定できるようにします。これにより、攻撃対象領域や問題の原因を特定しやすくなります。
- 疑わしいアクティビティーがないかエコシステム全体をモニタリングする。ベンダーやサービス プロバイダーのトラフィックも含め、ネットワーク内の異常なアクティビティーを特定することで、セキュリティ リスクを軽減して強力なセキュリティ態勢を維持できます。
- ゼロトラスト フレームワークを採用する。ゼロトラストでは、エンティティーが認証されるまで、あらゆるデバイスやユーザー、ネットワークが脅威の可能性があるとみなされます。多要素認証は、ゼロトラストや脆弱性管理に不可欠な要素です。
- アプリケーション レベルのマイクロセグメンテーションを実施する。従来のフラットなネットワーク セグメンテーションとは異なり、マイクロセグメンテーションは悪意のある内部関係者を含むユーザーが、アクセスを許可されていないアプリケーションを発見できないようにします。
- アイデンティティーとアクセス管理を活用する。アイデンティティー管理とアクセス制御はIT環境では極めて重要ですが、特に侵害が物理的な破壊や人命に関わる問題を引き起こす恐れがあるOT環境では不可欠です。
- 従業員を教育する。従業員が直面する可能性のある脅威の種類と、それらの潜在的な攻撃経路を理解することで、全体的なリスクを大幅に軽減できます。
ZscalerとOTセキュリティ
ゼロトラスト アプローチは、堅牢なOTセキュリティを確保するうえで最も効果的な方法です。コンテキストに基づいた適応型のアプリケーション アクセスを活用し、ネットワークへのアクセスに依存しません。効果的なゼロトラスト アーキテクチャーを導入することで、従業員、請負業者、サード パーティーなどのユーザーは、複雑なファイアウォール スタックやVPNを必要とせずに業務に必要なアプリケーションやシステムにのみアクセスできるようになります。そしてアプリやネットワークは、インターネットからは見えないままとなります。
Zscaler Private Access™ (ZPA™)は、世界で最も導入されているゼロトラスト ネットワーク アクセス(ZTNA)プラットフォームであり、次のような特長を備えています。
- VPNの強力な代替ソリューション:安全性が低く、負荷が高いVPNをZPAにリプレースすることで、不要なトラフィックのバックホールを排除し、プライベート アプリケーションへの安全で低遅延のアクセスを実現します。
- ハイブリッド ワーク向けのセキュリティ:あらゆる場所やデバイスからWebアプリやクラウド サービスに安全かつスムーズにアクセスできるようにします。
- サード パーティー向けのエージェントレス アクセス:管理対象外のデバイスをサポートすることで、ベンダー、請負業者、サプライヤーなどがプライベート アプリに安全にアクセスできるようにします。エンドポイント エージェントは必要ありません。
- 産業用IoT/OTの接続:産業用IoTおよびOTデバイスに高速かつセキュアで信頼性の高いリモート アクセスを提供して、メンテナンスやトラブルシューティングにかかる負荷を軽減します。
多くのお客様がOT環境の保護にZPAを選択しています。こちらの動画(英語)でその理由をご確認いただけます。
