OTのセキュリティ対策をたてる前にCIOとCISOが押さえておくべき5つの原則

この記事はLinkedInに掲載され、3月4日に英語で公開されたブログの翻訳版です。

CIOやCISOは、ITセキュリティで主導権を握ってきました。しかし、企業のクラウドファースト、モバイルファーストを新たに推進するうえで、オペレーショナルテクノロジ（OT）のセキュリティ対策を検討する際は、「自分が一番知っている」という先入観を捨てて、組織全体の目標をサポートするために優先項目を検討する必要があります。

製造業では、生産制限や停止、操業停止は企業損失につながり、その規模は数億ドルには至らずとも、数百万ドルに上ります。運用継続性を維持するうえでリスクの最小化は最も重要で、その中でもサイバーセキュリティはOTシステムにとっては不可欠です。しかしその一方、OTリーダーがCIOやCISOに通告してくるとおり、サイバーセキュリティ対策のために生産性、安全性、稼働率を犠牲にはできません。

IT部門では、「いかなる犠牲を払ってもサイバーセキュリティを維持する」ことを第一とし、OT管理部門は、「いかなる犠牲を払っても生産性、安全性、稼働率を維持する」ことを優先事項としています。この違いが両者の意思疎通を難しくしています。しかし、この摩擦は敵対するものではなく、建設的なものに変えることができます。ITリーダーとしてするべきなのは、「OTがセキュリティを軽視している」と捉えずに、OTの目的、さらには企業が目指すビジネス目標に、ITの優先事項を合わせることです。かつてのITによるOTへの「侵害」は、生産現場（および収益）に影響を与えたのかもしれませんが、OTセキュリティは優先するべきです。それでは、OTリーダーの意見を無視せずにOTのセキュリティ対策の優先度を上げるにはどうすればよいのでしょうか。

先進的なIT部門では、OTの優先事項である生産性、安全性、稼働率を損なうことなくサイバーセキュリティを実施しています。これを達成するためにIT部門が策定し、運用に取り入れたのは、5つの基本的なOTセキュリティの原則です。

1. 妥協ではなくテクノロジによってOTを支える
2. OTに標準的なセキュリティ手法が適用できるとは限らない
3. OTは地理的な問題も抱えている
4. OTは常時稼働している
5. OTはITよりも複雑である

 

1. 妥協ではなくテクノロジによってOTを支える

製造業やサプライチェーン企業にとって、ダウンタイムは企業生命を左右します。各工程が停止すれば、その一分一秒が売り上げの損失につながります。OT管理者は、自分たちに課せられた目標と基準をよく理解しており、アップタイムや生産性を脅かすものを徹底して排除しようとします。IT技術（セキュリティ等）は、OTチームの目標達成を支える必要があります。

CIOやCISOがOT部門に対してITの変更を説明する場合、運用効率、稼働時間、生産性の向上という観点に立つ必要があります。例えば、OT環境にゼロトラストを導入する際は、サードパーティによるオンボードの保守アクセスが速くなる、ポリシベースのアクセスによって危険なデバイスを介したOT環境のリスクを抑制し、水平方向のリスクの排除できる、といった主要なメリットを強調すれば、OTから積極的を支持を得ることができます。

OT管理者は、生産性、安全性、稼働率が損なわれない限り、IT主導のサイバーセキュリティの取り組みをサポートするはずです。ITリーダーは、業務をゼロトラストアーキテクチャ（ZTA）に移行しようとするならば、クラウドを利用した手法でダウンタイムがどの程度短縮できるか、マルウェアの被害の可能性をどの程度減らせるかについて説明する必要があります。

「Hydro社がコミュニケーションをMicrosoft 365のようなマネージドクラウドサービスに移行していなかったら、状況はより深刻になっていたでしょう。」Norsk Hydro社、2019年3月のランサムウェアの攻撃について

 

2. OTに標準的なセキュリティ手法が適用できるとは限らない

OT環境にはOTシステムのライフサイクルがあり、数年、あるいは数十年前に開発された機器、デバイス、ソフトウェアが使用されることも珍しくありません。そのため、一般的なITセキュリティ対策をあてはめることはできません。例えば、OTネットワークに接続されたワークステーションにMicrosoft Windowsのパッチを適用するには、十分な注意が必要です。SCADA（Supervisory Control and Data Acquisition）ソフトウェアとパッチの間に互換性がなければ、パッチによって生産ラインのダウンタイムを引き起こす可能性があります。

さらに、SCADAの管理ソフトウェアと共に使えるソフトウェアの決定権は、OT部門のリーダーではなく、OT機器ベンダが握っていることもよくあります。例えば、OT以外の部署では使用が認められたエンドポイントセキュリティソリューションでも、OT環境ではハードウェアと互換性がないため使用できないこともあります。IT部門は、リスクを評価し、そのような制限の回避策を検討する必要があります。エンドポイントセキュリティソリューションの一貫性を保つために強制しても、ハードウェアベンダの制約による互換性の制限があれば、OT管理者の激しい抵抗にあうでしょう。

多くの場合、OTは企業ネットワークから分離されていますが、これには十分な理由があります。旧来の境界線ベースのセキュリティを用いるフラットなレガシーネットワークでは、一旦侵入されると、ランサムウェアが容易に伝播してしまいます。このため、レガシー環境では、OTシステムを別ドメインを持つ異なるネットワークに構成する必要が生じることもあります。

ランサムウェア「NotPetya」の世界的な被害額は100億ドルを超えていますが、これは、権限の昇格や、フラットなネットワークを利用したマルウェアの無制限の伝播によります。

 

3. OTは地理的な問題も抱えている

一般に大手製造業では事業のグローバル化が進み、さまざまな国に工場を展開していますが、国ごとに異なる規制があり、インフラの質も異なります。ITの計画においては、地理的条件を考慮し、その地域の運用ニーズに合わせることが必要です。すべての地域に適用できる「万能型」のOTサイバーセキュリティソリューションは、ほぼありません。IT部門は、工場の重要度、アクセス性、地域標準を評価する必要があります。

 

• 工場の重要度
  すべての製造工場が同じ機能を持つわけではありません。一部の工場は、他よりも重要度が高い場合があります。インターネット接続に信頼性の高い有線接続を使用できる工場がある一方で、高遅延、低帯域の衛星通信しか使用できない場所もあります。IT部門は、重要度の低い二番手の拠点のセキュリティ例外を既定するよりも前に、重要拠点のOTセキュリティ対策を優先するべきです。
   
• 製造現場のアクセス性
  製造拠点の中には、交通の便が良い場所もあれば、「辺鄙」な場所もあります。交通の便が悪い場合は、リモートアクセスプロトコルを強化する必要があります。
   
• 地域標準
  産業用プロセスにおける標準は、国によって異なります。ある国で使用可能な技術が、他国では法的問題に抵触することもあります。工場ごとに監視すべき対象を把握し、工場の操業に影響を及ぼす重要な基準のために報告の上げやすさを優先します。

 

4. OTは常時稼働している

ビジネス目標の達成のために、OTは一般に24時間365日連続稼働します。製造インフラや生産ラインの基幹部門のオペレータは、年間のダウンタイムを秒単位、分単位で計測しています。OT管理者が、新しいテクノロジをインストールするために運用を停止できない、停止を望んでいない状況にあるのは、経営層も暗黙に了解していることです。またOTは、結果や影響を十分に評価することなく、新しいテクノロジを率先して導入することもありません。

CIOやCISOは、このようにゼロダウンタイムを前提とするOTを保護しなければなりません。ゼロトラストを導入するには、OTインフラの中でも重要度の低い部分から始めるべきでしょう。ITリーダーは、まずその箇所を徹底的にテストし、導入して効果を測定します。その結果に基づいてゼロトラストの価値を実際に提示することで、OT部門のリーダーに受け入れてもらうようにします。ゼロトラストセキュリティ戦略をさらに重要な部分に広げていくのは、その次の段階です。このように徐々に展開することによって、たとえば、サードパーティの保守作業がオンプレミスではなくリモート接続のシステムアクセスで実施できる、平均修復時間（MTTR）を短縮できる、というような目に見える効果によって理解を得やすくします。

 

5.OTはITよりも複雑である

OTシステムの管理は、管理の複雑さ、ライフサイクル管理、規制監督、ベンダの影響力などの点でITシステムの管理とは異なります。

 

• 管理の複雑さ
  OTの管理者には、ITやセキュリティ製品を管理する時間的余裕がありません。OTシステムのクリティカルな特性や、その管理に使用できる帯域幅の制約もあり、セキュリティアプライアンスや、ホストされているソフトウェアのオンサイトによる設定や管理はOT管理者にとって難しい作業となっています。
   
• ライフサイクル管理
  ITシステムの寿命は通常4〜6年ほどですが、OTシステムのライフサイクルは数十年に及ぶこともあります。
   
• 規制監督
  OTシステムの制御は、厳しい法規制を受けることが数多くあります。例えば、FDA（米国食品医薬品局）では、診断機器の導入から20年間のメーカーサポートを法的に定めています。
   
• ベンダの影響力
  OTリーダーが、SCADAシステムやエンジニア用ワークステーションシステムの選択権を持つことは、ほぼあまりありません。多くはシーメンス、ロックウェル・オートメーション、シュナイダーエレクトリック、エマソンオートメーションといったOT機器メーカーの主導で技術開発が進められ、最終的な決定もメーカーが行います。

 

このような要因が絡み合うため、OTシステムの変更を計画するにはITシステムとは異なる手順が必要になります。ITリーダーは、それぞれのOTの特性に合ったサイバーセキュリティの手引きを作成する必要があります。

 

OTセキュリティにはIT部門との連携と理解が必要

IT部門は、稼働時間を守る観点からOTの攻撃防止機能を検討すべきです。OTネットワークを標的としたランサムウェアやその他のセキュリティ攻撃は、IP（知的財産）の盗難を目的としていません。攻撃の目的は、企業を混乱させ、計画外のダウンタイムによって企業の収益を悪化させることにあります。

OTセキュリティは、他とは異なる面もありますが、非常に重要です。最近のSolarWindsのハッキング事件が示すように、OTのサイバーセキュリティ対策チームは、産業用制御システムやサプライチェーンに対しても巧妙な攻撃が仕掛けられるという事実を、新たな常識として受け止めるべきです。

OT管理者は、OT固有の課題を抱えており、IT部門はそれを認識した上でOTのセキュリティを確保しなければなりません。CIOやCISOは、OTシステムやアーキテクチャを変更する場合、セキュリティに対する捉え方についてOTチームとのギャップを埋める方法を再度検討する必要があります。

IT部門のリーダーは、OT部門の担当者とサイバー脅威について話し合う前に、OT部門の視点に立ち、生産性、安全性、稼働率といったOTの目標を理解し、協力的で実りあるパートナーシップを築く必要があります。企業全体のセキュリティ態勢を改善しようとするならば、OTチームとの関係を築く前に、OT部門の哲学「壊れていないなら直す必要はない」を理解しておくことが必要です。ITリーダーがOT部門から信頼されれば、OTシステムにゼロトラストアーキテクチャを導入する計画を切り出すことも可能になるでしょう。