止められない「OTならでは」のセキュリティ対策とは?:薄れ始めたITとOTのギャップ
産業用制御システム(ICS)やSCADA、Operational Technology(OT)のセキュリティに対する関心が高まっている一方で、「これらはITと切り離されており、エアギャップがあるから安全」という声も根強い。しかし本当にそうだろうか?
薄れ始めたITとOTの「ギャップ」
2010年にイランの核燃料施設に被害を与えたマルウェア「Stuxnet」の登場をきっかけに、産業用制御システム(ICS)やSCADA、Operational Technology(OT)のセキュリティに対する関心が高まっている。海外の電力施設やプラントでマルウェアに起因する複数のインシデントが発生したこともあり、「このままでは日本の制御システムも危険なのではないか」と懸念を抱く企業も増えてきた。こうした状況を踏まえ日本政府も、「重要インフラの情報セキュリティ対策に係る第4次行動計画」やガイドラインを定め、重要インフラを担う13分野について対策を講じるよう求めている。
その一方、日本の産業現場では「制御システムを支えるOTはITシステムとは切り離されており『エアギャップ』が存在する。従ってリスクは少ない」という安全神話が根強い。このため、海外で起きたような事故が、日本国内の生産施設で発生する恐れは低いと考える人も少なくないようだ。
だが、フォーティネットジャパンの岩崎和男氏(新規ビジネス開発本部 IoT/ICSビジネス開発 特任部長)は指摘する。「確かに今までOTはITと隔離され、独自のプロトコルとハードウェアで構築されていた。しかしIndustry 4.0などのトレンドによってIPの採用や無線の導入が増え、ITとOTの融合が進んでおり、エアギャップは減ってきている」
その現実を示したのが、2017年に登場したランサムウェア「WannaCry」や「NotPetya」だろう。これらのランサムウェアはサーバなどのITシステムに影響を与えただけでなく、いくつかの企業では、そこに格納されたデータを参照する生産システムの稼働にも支障が生じたことが報じられている。数年前から膨らんできた漠然とした不安が、いよいよ現実的な脅威になろうとしているのだ。
提供:フォーティネットジャパン株式会社
アイティメディア営業企画/制作:TechFactory 編集部/掲載内容有効期限:2018年6月10日
Copyright © ITmedia, Inc. All Rights Reserved.