製造業がOTセキュリティを進めるための実践ステップ
2025年8月28掲載
製造業におけるOT(Operational Technology)環境は、可用性の確保が最優先される特殊な領域です。しかし近年、ITとOTの接続が進み、ランサムウェアや標的型攻撃などの脅威が工場の生産ラインや倉庫の自動搬送・事項梱包などにも及ぶようになりました。中堅・中小企業はどのようにOTセキュリティ対策を進めるべきか。本記事では、Nozomi Networksの橋本氏へのインタビューをもとに、段階的に進めるステップを解説します。
お話をうかがった方
Nozomi Networks Regional Sales Engineering
ネットワークエンジニアを20年以上、セキュリティエンジニアとしても10年以上と経験を持ち、高い技術力とノウハウを持つ。2024年よりNozomi Networksに所属。社外活動としてIPAの情報処理安全確保支援士試験委員やOpen Networking Conference Japan 実行委員としての顔も持ち、執筆活動も行う。
OTセキュリティは二つの側面がある
OTセキュリティを進めるにあたって、二つの側面があると橋本氏は言います。
「OTではいかに継続的・安定的に工場を動かし生産していくかが最終的なゴールです。そのため、OTでは『可用性』が重要視されますが、ITでは情報を守るための『機密性』が重要視されます。まず、OTとITそれぞれ異なる視点を持つことを認識しなければなりません。
また、OTのサイバーセキュリティ対策では、Customer Oriented(顧客志向)とAttacker Oriented(攻撃者志向)という二つの側面に分かれます。
Customer Oriented(ここでは社内外のユーザー志向)では、製造や生産ラインをいかに安定的に稼働していくか。お客さま自身がOT環境をモニタリングし、継続的に対応していくということが求められます。Attacker Oriented では、サイバー攻撃者からどのように自社環境を守り、可用性を高めていくかという視点です。ユーザーが『自身で対応』する領域と、『相手から守る』という二つの側面がOT環境には存在すると考えています」
各企業でスタート地点も課題も異なる
企業によってはスタート時点が異なるだろうと橋本氏は続けます。
「これからOTセキュリティに取り組む企業は、リスク分類や資産の棚卸から始める必要があります。もし何かすでに取り組んでいることがあれば、それはCustomer Orientedなのか、Attaker Orientedなのかという視点で分類して考える必要があるでしょう。
すでにOTセキュリティに着手している企業では、実際にリスクを認識し守る必要性を感じているケースが多いと思います。しかし、まずは可視化を行ったものの、可視化がゴールになってしまっている企業も少なくありません。リスクベースの管理を行うためには、脅威の存在とその規模を把握し、今持っている情報に対して付与情報(エンリッチ)を与え、リスクの定量評価が可能な状態にすることが重要です」
まずは「サイバーセキュリティ経営ガイドライン Ver 3.0」を活用
ビジネスの効率化やDX推進によってITとOTが接続され、ビジネスプロセス全体が連携しつつあります。近年では、OTセキュリティに関する法令やガイドラインも多数登場しています。中堅や中小企業においては業界ガイドラインを参考にしつつ、経済産業省が策定した「サイバーセキュリティ経営ガイドライン Ver 3.0」が広範に対応しており、参考になると橋本氏は述べます。
「俯瞰していて利用しやすいのが『サイバーセキュリティ経営ガイドライン Ver 3.0』です。分類も分かりやすく、具体的な10個の指示項目があります。リスクの管理体制やリスクの特定・対策の進め方、インシデント対応や情報連携についても分かりやすく記載されており、参考になると思います。
対応の順番としては、リスク管理体制の構築とリスク特定・対策の実装(指示1~6)を先に進め、その後で指示7~10を対応していく、というように前半と後半で段階的に進めていくイメージがいいでしょう」
“可視化の先”をどう進めるか
サイバー攻撃の手法や攻撃技術は日々進化しており、継続的に情報を収集し見直し、アップデートし続ける必要があります。
「Cusotmer Orientedとして 資産の可視化 ができていれば、次は 通信の可視化 が必要です。プロトコルが正常に稼働しているか、異常値がでてないか。規格外のファンクションコードや異常な変数値が含まれていないかなど、お客さまのベースラインと実トラフィックとを比較しチェックすることが求められます。これらはふるまいベースの検知を行うセキュリティサービスを活用すると良いでしょう。
Atterker Orientedの場合は、不正なトラフィックや脆弱性の悪用、サイバー攻撃の兆候を検知 していく必要があります。例えば、トラフィックの挙動を観察し、悪意あるエクスプロイトの実行や、攻撃者が準備したC&Cサーバの名前解決を試みる通信などです。すでに知られている攻撃に対しては、対策技術の導入も必要です。
また、資産の可視化で脆弱性が発見されても、すべての脆弱性に対応することは難しいかもしれません。しかし、どのような脆弱性があるか把握しておくことは重要です。何に対応し、何を対応しない・できないのかまでを可視化しておくことがポイントです」
OTとITの組織的協力が必須
セキュリティ対策の実施には、予算と人材の確保が最重要 です。OT管理者はIT部門と連携し、バーチャルチームを形成して取り組むことが望ましいと橋本氏は語ります。
「二つの組織が連携しなければ、対策に抜けが生じる可能性があります。OTとITの環境差分から利用する技術も異なるため、OTとIT両方にそれぞれ適切な技術を導入するのが望ましいでしょう。可用性と機密性のバランスも重要であり、パケットのペイロードをみてベースラインから逸脱する振る舞いがないかを確認したり、どのようなマルウェアが存在し、どのような攻撃があり得るかという情報のアップデートも欠かせません。
これらを自社で対応するのか、MSSP(マネージドセキュリティサービスプロバイダー)などに外部委託するかも、併せて検討すべき事項です。
また、最近はクラウド管理のOTセキュリティ(Nozomi Vantage)のようなソリューションも登場しています。AIエンジンを活用することで、リスク評価やアラートのトリアージ、通信先の把握などが可能になり、どのリスクを優先的に対処すべきかを判断できるようになってきています」
リスク対応は回避だけではない。軽減や移転、受容の考え方も存在
橋本氏はさらに、リスク対策は回避だけが全てではないとも指摘します。
「リスク対応には、回避だけではなく、軽減・緩和、移転、受容という選択肢もあります。例えばアクセス制限で軽減したり、被害を受けた際に備えて保険に加入するといった移転の対策も選択肢の一つです。技術的・環境的にリスクの回避が困難な場合は、メンバー全員でリスクを共有した上で運用を行うことも重要です。以前はリスク対応の優先順位を判断するのが難しかったですが、現在ではAIの進化によってシステム上で判断できるようになっており、軽減・緩和・受容といった選択肢も検討しやすくなってきています」
また、OTでは可用性が重視されるため、メンテナンスによって停止できる時間について事前の合意形成が不可欠 であると続けました。
「OTは『止めないこと』が前提の考えです。生産や出荷が止まると大きな経済的損失が発生する可能性がありますが、有事の際に将来のリスクを抱えたまま運用を継続するか、将来のリスクを最小限の抑えるために一時的に停止するかを選択しなければいけないこともあります。そのときに備えて、サイバー攻撃対策として製造ラインを一時的に止める影響度や最大どの程度まで停止可能か、メンテナンスにかけられる時間について事前に関係部門で合意形成しておくことも重要です。
例えば、製造ライン部門の追加の『週末対応』や『夜間2時間の停止』などでリカバリーできるのかどうか、その許容時間はどれくらいなのか、製造ライン部門とインシデント対応チームの間であらかじめ情報を共有しておき、協力体制を築いておくことが求められます」
持続的な運用サイクルに向けて
OTセキュリティの持続的な運用サイクルとして、計画→評価→実装→運用といった技術的ステップに加え、さらに次のような取り組みが求められます。
「OTのアセット情報を収集・活用し、新たなサイバー攻撃への対応、インテリジェンス情報の活用、AIによる運用の効率化、セキュリティシステムの連携・連動・自動化など、常に情報をアップデートしながら運用していく ことが重要です。そのためには、業界内のつながりを持ち、同業他社や異業種の他社と情報交換しあえる仕組みを整えることも必要ではないでしょうか」
OTセキュリティは経営課題として対応していく
OTセキュリティはカスタマー(ユーザー)とアタッカー(攻撃者)双方の視点から対策を進め、可視化の先にあるステップを明確化し、持続的な改善サイクルを構築することが成功の鍵です。橋本氏は最後にこう語ります。
「OTセキュリティはOT部門だけの問題ではなく、組織全体で取り組むべき課題 です。サイバーセキュリティ経営ガイドライン Ver 3.0にもある通り、『会社全体として対応すべき事項』であり、CISOの設置など経営層が主導して体制構築と合意形成を進めることが求められます。
その上で、技術的な対策や生産ラインでの調整など、現場レベルでの議論を進める必要があります。セキュリティ対策によって新たな業務が発生することもあるため、組織として合意形成は非常に重要です。
また、セキュリティ予算は対策の積み重ねによって増加傾向にありますが、中にはすでに使われていないシステムや過去の対策が放置されている場合もあります。それらを整理・見直し、本当に必要な対策に予算を集中投下していく必要があるでしょう」
OTセキュリティは、段階的かつ持続的に取り組むことが不可欠です。ソフトバンクでは貴社の状況に合わせた最適な一歩をともに考え、ご提案いたします。ぜひお気軽にご相談ください。
AIによる記事まとめ
この記事は、製造業におけるOTセキュリティ対策の実践ステップを解説しています。Nozomi Networks橋本氏のインタビューを基に、OTとITの視点の違い、Customer OrientedとAttacker Orientedの二側面、リスク分類・可視化・ガイドライン活用、組織的連携やAI活用、リスク対応方法、持続的運用サイクル、経営課題としての取り組みを体系的に示しています。
※上記まとめは生成AIで作成したものです。誤りや不正確さが含まれる可能性があります。
関連サービス
OTセキュリティ Type N
Nozomi Networks Guardianの導入に加え、事前のコンサルティングや運用監視サービスなどOT(Operational Technology)セキュリティの強化をトータルでサポートします。
マネージドセキュリティサービス(MSS)
有人セキュリティ監視・分析・対処をご提供し、サイバー攻撃からお客さまの資産を守ります。
関連セミナー・イベント
ビジネスブログ「Future Stride」では、ビジネスの「今」と「未来」を発信します。
DXや業務改革をはじめとしたみなさまのビジネスに「今」すぐ役立つ最新トレンドを伝えるほか、最先端の技術を用いて「未来」を「今」に引き寄せるさまざまな取り組みにフォーカスを当てることで、すでに到来しつつある新しいビジネスの姿を映し出していきます。