OTセキュリティとは

ITセキュリティとOTセキュリティの違い

ITシステムは人やデバイス、ワークロードなど、さまざまな用途を想定して設計されているのに対し、OTシステムは特定の産業用アプリケーションを自動化する目的で設計されているため、両者を保護する方法は大きく異なります。

課題の1つとして挙げられるのが、技術のライフ サイクルです。ノートパソコンやサーバーなどのITシステムのライフ サイクルが4年～6年であるのに対し、OTシステムのライフ サイクルは数十年に及ぶこともあります。つまり、OTセキュリティ対策の中には古くなったインフラに依存せざるを得なかったり、パッチも適用できないものが少なからず存在するということです。

OTシステムの中には規制が厳しいものもあります。例えば、米国食品医薬品局(FDA)の規制では診断機器のメーカーに対し、導入日から20年間にわたりサポートすることを義務付けています。また、OTシステムは事業部門によって管理されており、CIOやCISOがこれらのシステムの調達、管理、保護に責任を持つことは通常ありません。

しかし、OTとITのセキュリティには、どちらもインターネットまたはパブリック ネットワークへの接続に対する依存度が高まっているという重要な共通点があります。

OTサイバーセキュリティが重要な理由

数年前までは、OT資産はインターネットに接続されていなかったため、マルウェアやランサムウェア攻撃、ハッカーなどのWebを介した脅威にさらされることはありませんでした。その後、DX化の推進やITとOTの融合が拡大するにつれて、多くの組織がインフラにポイント ソリューションを追加して、パッチ適用などの特定の問題に対処するようになりました。こうしたアプローチの結果、システム間で情報が共有されない複雑なネットワークが生まれ、管理者側も十分な可視性を得られなくなったのです。

産業用制御システム(ICS)とは、さまざまな産業プロセスを管理するデバイス、制御装置、ネットワークのことで、業務と収益源を維持するうえで非常に重要な役割を果たします。監視制御およびデータ収集(SCADA)システム、分散制御システム(DCS)、カスタマイズされた各種アプリケーションなどの一般的な産業用システムが侵害されると、組織に大きな被害をもたらす可能性があり、サイバー攻撃の格好の標的となります。

ITとOTのネットワーク セキュリティを融合する理由

多くの場合、ITとOTのネットワークには異なるシステムが使用されています。OTネットワーク部門はCOOの、ITネットワーク部門はCIOの監督下にあるため、組織のエコシステム全体でアクティビティーを総合的に追跡できません。それぞれの部門がエコシステム全体の半分だけを保護することになり、結果的にセキュリティと脅威に対する管理作業の分断と重複が発生し、組織がサイバー脅威にさらされるリスクを増大させます。

運用環境におけるOTセキュリティ

OTシステムには、センサー、モニター、アクチュエーター、発電機、産業用ロボット、プログラマブル ロジック コントローラー(PLC)、リモート プロセッシング ユニット(RPU)のほか、現在では産業用モノのインターネット(IIoT)の一部であるその他の技術も含まれます。OTデバイスの中には取り扱いに危険が伴う機械もあり、関連するサイバー リスクが増大する中で、こうしたデバイスのセキュリティを確保することが人の安全にもつながるため、適切な対策が求められます。Gartnerは、サイバー犯罪者が2025年までにOT環境を武器にして人間に物理的な危害を加える恐れがあると予測しています。

OTセキュリティのベスト プラクティス

現在普及しているセキュリティ ソリューションと同様に、運用技術も多岐にわたりますが、効果的なOTセキュリティ戦略を実現するには次のような点が求められます。

• 環境をマッピングする。担当部門がネットワーク内のすべてのデバイスのデジタル ロケーションをリアルタイムで特定できるようにします。これにより、攻撃対象領域や問題の原因を特定しやすくなります。
• 疑わしいアクティビティーがないかエコシステム全体をモニタリングする。ベンダーやサービス プロバイダーのトラフィックも含め、ネットワーク内の異常なアクティビティーを特定することで、セキュリティ リスクを軽減して強力なセキュリティ態勢を維持します。
• ゼロトラスト フレームワークを採用する。ゼロトラストでは、エンティティーが認証されるまでデバイス、ユーザー、ネットワークは脅威の可能性があるものとみなされます。多要素認証は、ゼロトラストや脆弱性管理に不可欠な要素です。
• アプリケーションレベルのマイクロセグメンテーションを実施する。従来のフラットなネットワーク セグメンテーションとは異なり、マイクロセグメンテーションは悪意のある内部関係者を含むユーザーが、アクセスを許可されていないアプリケーションを発見できないようにします。
• アイデンティティーとアクセス管理を活用する。アイデンティティーとアクセス管理は、IT環境では非常に重要な要素ですが、特に侵害が物理的な破壊や人命に関わる問題を引き起こす恐れがあるOT環境では不可欠です。
• 従業員を教育する。従業員が直面する可能性のある脅威の種類と、それらの潜在的なベクトルを理解することで、全体的なリスクを大幅に軽減できます。

ZscalerとOTセキュリティ

ゼロトラスト アプローチは、ネットワーク アクセスに依存しない「コンテキストに基づいた適応型のアプリケーション アクセス」を活用するため、堅牢なOTセキュリティを確保するうえで最も効果的な方法です。効果的なゼロトラスト アーキテクチャーを導入することで、従業員、請負業者、サード パーティーなどのユーザーは、複雑なファイアウォール スタックやVPNを必要とせずに業務に必要なアプリケーションやシステムにのみアクセスできるようになります。そしてアプリやネットワークは、インターネットからは見えないままとなります。

Zscaler Private Access™ (ZPA)™は世界で最も導入されているゼロトラスト ネットワーク アクセス(ZTNA)プラットフォームであり、次のような特長を備えています。

• VPNの強力な代替ソリューション：安全性が低く、負荷が高いVPNをZPAにリプレースすることで、不要なトラフィックのバックホールを排除し、プライベート アプリケーションへの安全で低レイテンシーのアクセスを実現します。
• ハイブリッド ワーク向けのセキュリティ：あらゆる場所やデバイスからWebアプリやクラウド サービスに安全かつスムーズにアクセスできるようにします。
• サード パーティー向けのエージェントレス アクセス：管理対象外のデバイスをサポートすることで、ベンダー、請負業者、サプライヤーなどがプライベート アプリに安全にアクセスできるようにします。エンドポイント エージェントは必要ありません。
• 産業用IoTおよびOT接続：産業用IoTおよびOTデバイスに高速かつセキュアで信頼性の高いリモート アクセスを提供して、メンテナンスやトラブルシューティングを容易にします。

多くのお客様がOT環境の保護にZPAを選択しています。こちらの動画でその理由をご確認いただけます。

• Zscaler Private AccessでOTシステムを保護するMAN Energy Solutions
• Zscaler Private Accessで多くのアプリにゼロトラストを実装したNOV