コラム|Column

昨今、国内外で工場やインフラの制御システム(OT)を標的にしたサイバー攻撃が増加している。OT環境が攻撃を受けた場合、生産ラインの停止やインフラの停止などに繋がりかねず、OTセキュリティ対策は多くの日本企業にとっていまや喫緊の課題になっている。

そこで今回は、NTTドコモビジネス株式会社(以下、NTTドコモビジネス社)にてOT-IDSソリューション「OsecT」のプロダクトオーナーを務める加島 伸悟氏(以下、本文中は加島氏と表記)のこれまでの経験・知見を基に、企業が現在抱えているOTセキュリティの課題とニーズを具体的に解説する。記事後半には課題への解決策もまとめた。

加島 伸悟(かしま しんご)

NTTドコモビジネス株式会社(旧NTTコミュニケーションズ株式会社)
イノベーションセンター
 テクノロジー部門 セキュリティグループリーダ
 セキュリティオペレーション実施責任者
マネージド&セキュリティサービス部 セキュリティサービス部門
 総合リスクマネジメントサービス「WideAngle」のサービス企画
一般社団法人 セキュリティ・キャンプ協議会 理事
日本ネットワークセキュリティ協会(JNSA)調査研究部会 OTセキュリティWG SWG1リーダ

広域イーサネットサービスにおける技術開発および商用開発に従事するとともに、フロー監視技術(xFlow)の開発と国際標準化を推進し、IETF RFC 7133の著者として標準化活動に貢献。

さらに2021年東京オリンピック・パラリンピックのリスクアセスメントなど、NTTグループ全体のセキュリティガバナンスにも従事。加えて、制御システムセキュリティ分野における技術およびサービス開発にも取り組み、国産OT-IDS「OsecT」のプロダクトオーナーとして製品開発を牽引している。

日本企業が抱えるOTセキュリティの課題

まずは日本企業がOTセキュリティに関してどんな課題を抱えているのか、NTTドコモビジネス社に寄せられたこれまでのお客様からの相談内容を参考に整理する。

商談現場に寄せられる相談内容10項目

以下の表はOTセキュリティの現場でよくある相談の一部である。NTTドコモビジネス社の商談現場でよく挙がる話題を基に作成しており、昨今のOT環境における企業の課題が集約されている。

  1. OTシステムの資産管理
  2. OTネットワーク構成の把握
  3. OTネットワーク構成の継続的な管理
  4. IT/OTネットワークの分離 / マイクロセグメンテーション
  5. OT環境のセキュリティポリシー整備
  6. リモートアクセスなどによる取引先管理の徹底
  7. 従業員のOTセキュリティ意識向上
  8. セキュリティインシデント発生時の体制整備
  9. ランサムウェア感染による操業停止への危惧
  10. OTセキュリティの対策ロードマップが欲しい

上記のようにOTセキュリティの課題は多岐にわたるが、特にニーズの高い「OTシステムの資産管理やOTネットワーク構成の把握」については、「OT-IDS(産業用侵入検知システム)」などのOT環境に特化した検知システムを導入することで解消できるだろう。

また、「6.リモートアクセスなどによる取引先管理の徹底」は、外部事業者などによるOT環境へのリモートメンテンナンスの機会が増加したことにより増えた相談だ。OT環境へのリモートアクセスにはVPNを活用することが多かったが、その脆弱性を突いたサイバー攻撃が増加しており、商談現場では脱VPNを検討する声も目立っている。そのため、特権管理とゼロトラストベースのリモートアクセスを同時に実現する「特権リモートアクセス(PRA)」などが、注目されている。

組織全体でOTセキュリティ製品の切り替えを検討する企業も多い

OT環境へのサイバー攻撃はビジネス停止だけでなく経営全体にも大きなインパクトを与える可能性があり、経営層主導でOTセキュリティの強化を検討する企業も多い。詳しい背景は後述するが、日本では3年程前までは、「OT環境は独自プロトコルを利用しているから攻撃されにくい」といった安全神話の存在や、OTセキュリティに特化した規制が無かったことから、一部の大手企業だけが先んじてOTセキュリティ対策を講じてきた経緯がある。

対策製品として外資系ベンダーの製品が多くあるが、そのほとんどは数万ノードを対象にした大企業を前提として設計されており、国内企業にとってはオーバースペックでかつ高コストであった。また、仮に導入しても担当チーム・部署が運用しきれない場合も多かった。

加島氏

イメージ画像

案件相談自体は数年間増え続けていて特に2025年下半期以降は、既存製品のコストと機能のアンマッチを感じているお客様が増えています。既存製品のライセンス更新や自社のDX化を契機に、組織としてしっかり運用しやすいOTセキュリティの検討に動くお客様も珍しくありません。

日本の製造業界においても、欧米のようにOTセキュリティをサイバーセキュリティの文脈でとらえるのではなく「コンプライアンスリスク」として捉える考え方が徐々に広がり、それに伴ってOTセキュリティ対策のニーズも増加しているようだ。

本格化する日本企業のOTセキュリティ対策

それではなぜ海外では先んじてOTセキュリティの考え方が根付き、日本では最近になってようやく広まってきたのか。ここからは国内外のOTセキュリティを巡る重大インシデントや、それに伴う各国のガイドライン策定とセキュリティ対策について整理する。

国内外の企業で共通するのは「コンプライアンスリスクの意識」の高まり

前述しているように、日本に先んじて欧米ではOTセキュリティの取り組みが進んでいたが、その背景にはかねてよりコンプライアンスリスクの意識の定着があった。以下は2010年代以降に海外で発生したOTセキュリティ関連の主なトピックである。

  • 国家運営における重要なインフラ施設や軍事施設に対して、国家支援型マルウェアやランサムウェア攻撃、さらには環境寄生型攻撃が発生しOTセキュリティの重要性が浮き彫りになった
  • OT環境への度重なる攻撃を踏まえ、「ISA/IEC 62443」や「NERC CIP」といったセキュリティガイドラインの厳格化が進むとともに、欧州では「NIS指令」などの新たな法規制も整備され、国家レベルで各企業にコンプライアンスリスクの意識向上を求めてきた
  • 石油やガス、電力といった社会インフラや製造業では、サイバー攻撃の対象がITからOT領域へと拡大した。これにより重要インフラを停止させないためのOTセキュリティ市場は成長を遂げた

以上のような状況が2010年代には揃っていたことで、OTセキュリティの強化が積極的に進められているのだ。大まかな流れとしては【OT環境を狙うサイバー攻撃の激化に伴い、厳格なガイドラインが整備された。企業は、業務停止や巨額の罰金リスクを回避するため、OT環境へのセキュリティ対策を実施】となっている。

一方、日本は欧米と比べてやや遅れたものの、下記のようにOTセキュリティ対策の重要性は既に認識され始めている。

  • 大手飲料メーカーがVPNの脆弱性を突いたサイバー攻撃を受けて、国内工場の多くで生産が一時停止。IT環境のセキュリティ対策のみならず、OT環境の資産管理や安全な通信経路の構築が意識された
  • 大手VPN提供事業者による「SSL-VPN」廃止・事業撤退によって、企業側に「脱VPN」の必要性がより認識された
  • 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」(以下、経産省ガイドライン)などの政府主導によるガイドライン制定で、製造業をはじめOTセキュリティの重要性が強調された
  • インシデントを契機に大企業を中心としてコンプライアンス意識が高まり、中小企業でも取引先のコンプライアンス規定に準拠したOT環境へのセキュリティ対策が強く求められるようになった

日本のOTセキュリティの広まり方も、大枠では欧米と同様である。【象徴的なインシデントをきっかけに政府主導でガイドラインを策定、各企業のコンプライアンスリスクの意識が変質し、多くの企業が具体的な対策に乗り出す】といった流れになる。

注目しておきたいのは「脱VPN」といったVPNが抱える脆弱性に対しても急速に議論がなされていること。OT環境と繋がっている通信経路経由で攻撃者の侵入を許すと、その先のOT環境が攻撃を受けて生産停止に追い込まれてしまう。VPNとOTセキュリティは一見して別軸の話であるものの、生産現場の安全性の担保と、アクセス制御の重要性が同時期に認識された。前述したOTセキュリティの相談において、リモートアクセスや取引先の制御の話題が挙がっているのもその証左といえるだろう。

「JNSA OTセキュリティアワード」の開催でさらに注目が高まるOTセキュリティ増加

OT環境を標的にした攻撃が増加したことを鑑みて、日本でも欧米のようなガイドラインを策定し遵守しようという動きが出始めている。前述した経産省ガイドラインのほか、NTTドコモビジネス社も参画している「NPO日本ネットワークセキュリティ協会(JNSA)」では、2024年にOTセキュリティワーキンググループを立ち上げ、2026年に日本で初のOTセキュリティに特化した表彰制度「JNSA OTセキュリティ アワード」を制定した。

加島氏

イメージ画像

政府も巻き込んだ業界横断的なコミュニティの動きは活発化しています。この取り組みがきっかけで、JNSAの入会企業数も2年間で64社と増加傾向です。OTセキュリティワーキンググループの参加人数は全ワーキングループで唯一100人を超える(2025年度末現在)など、日本でもOTセキュリティにおけるコンプライアンスリスクの意識は高まっていると実感しています。

OTセキュリティ市場の現状と課題

日本でもガイドライン策定によってコンプライアンスリスクの意識が高まっているが、最も重要なのは具体的なOTセキュリティの導入・運用である。OTセキュリティの実現には以下のような機能が求められるが、これらを実現できる多くが海外ベンダーの製品だ。

  1. OTネットワークや資産の可視化
  2. 異常通信や攻撃に対する検知(OT-IDSなど)
  3. 制御ネットワーク防御(ファイアウォールなど)
  4. 端末保護(OT-EDRなど)
  5. 設定・構成管理(PLCバックアップツールなど)
  6. 運用・SOC(OT-SOCなど)

この中でも「2.異常通信や攻撃に対する検知(OT-IDSなど)」では、日本のセキュリティベンダーの製品は数が特に少ない。海外製品のOT-IDSは多機能かつ多拠点向けに開発されており、対象のノードや拠点が少ない日本企業ではオーバースペックである。また、VPNの代替候補であるPRAなどの通信制御のソリューションも、国内製ではOT-IDSと同じく選択肢が限られる。

日本のOTセキュリティを進展させる新しい統合ソリューション

日本のOT環境に適したOT-IDSのニーズが高まる中で、NTTドコモビジネス社では国産のOT-IDSソリューション「OsecT」を提供している。 OsecTの主な特徴は以下の通りである。

OTネットワークの可視化
様々な角度から分析した接続端末や通信を「OsecT」環境のポータル画面で一元管理・確認
サイバー脅威の早期検知
未知の通信や不審な端末などのサイバー脅威を早期に発見し、アラートを通知

現在、OsecTはクラウド版とオンプレミス版の2種類を提供している。クラウド版はSaaS環境で一元的に監視できる利便性の高いもので、オンプレミス版が監視データを内部ネットワークから外に出さずに処理できるもの。オンプレミス版は内部ネットワークで完結したいという多数のニーズから開発されたが、リモート監視ができない点などの課題も抱えていた。

NTTドコモビジネス社ではオンプレミス版の課題を解消するべく、リモートアクセスの制御技術に強みを持つIIJとの協業をスタートさせた。本ソリューションは加島氏がプロダクトオーナーとして携わっているOT-IDSソリューション「OsecT」と、IIJで提供しているPRAソリューション「IIJ Safous 特権リモートアクセス」を組み合わせたものである。資産管理・異常検知とリモートアクセス制御を併せ持つ、OT環境向けの統合セキュリティ管理ソリューションというのが最大の特徴だ。導入・運用方法は以下の通りである。

  1. 専用機器(OsecTにSafousの機能を実装したもの)を顧客のOT環境に設置
  2. Safousの持つ外部事業者ごとへの権限設定や承認管理・録画保存機能などを設定
  3. アクセス承認されている外部事業者のみSafousを経由して制御装置へアクセス
  4. OsecTのセンサー機能による異常検知・アラート通知で影響の極小化
  5. OsecTの資産管理機能で端末間の通信接続関係を継続的に可視化

OsecTにSafousを実装して同一システム内で設計しているため、OTシステム向けIDS機能とセキュアリモートアクセス機能を併せ持つ専用機器をお客様OT環境に設置することで導入は完了する。NTTドコモビジネスが内製で開発した国産製品のため、従来の海外製品を個別に導入するよりも導入コストを抑えられるのも魅力だ。

ソリューションの開発経緯とこれからの展望

本ソリューションのようなOT-IDS(資産管理・異常検知)とゼロトラストベースのPRA(リモートアクセス権限制御・ログ管理)をワンストップで提供する例は少ない。今回のソリューションが開発・企画された背景には、OsecTの抱える運用面の課題を、Safousで補完するという発想があった。

オンプレミスで提供されているOsecTはデータをOT環境内に閉じて保管できる一方で、VPN装置などのリモートアクセスの仕組みで外部からアクセスさせる必要があることや、リモートからOsecTを監視する難しさなど運用面で課題があった。そこでIIJで「Safous」の企画・販売の主幹を務める近藤 知憲(こんどう とものり)が、NTTドコモビジネス社に自社のIIJ Safousを紹介したところ、OsecTを組み合わせる協業が実現したという。

近藤

イメージ画像

セキュリティイベント会場にて、OsecTの強みと課題をお聞きしました。IIJのSafousは独立したプラットフォームを持っており、お客様のネットワークの再設計やVPN設置を行わずに安全なリモートアクセスを実現できる事が強みです。そこで「Safousの機能を加えたOsecTをお客様のOT環境に設置し、外部からのリモートアクセスをSafousで制御し、Safous経由でOsecTにアクセスさせることで、安全にリモートからOsecTを稼働させることができる」という仕組みを提案しました。

加島氏

イメージ画像

当時、OT-IDSとリモートアクセス機能を組み合わせる発想自体が新鮮でした。しかし、Safousと組み合わせることでOsecTの良さを残したまま、VPNではなくゼロトラストで安全な通信経路を構築できます。”可視化”と”検知”、それに加えて”リモートアクセスの制御・監視”をワンストップで提供できるソリューションです。既存の海外製品のように個別で導入する必要がないため、お客様は工数を最小化してOTセキュリティを構築できます。

国産の統合セキュリティ管理ソリューションの登場によって、日本の製造業におけるセキュリティ課題解消は大きく前進する可能性がある。生産現場におけるリスクを日々目の当たりにしている企業のIT・OT担当者の方、既存のOTセキュリティソリューションからの切り替えを検討中の責任者の方などは、自社のOT環境を改善のためにぜひ以下のリンクから詳細を確認いただきたい。

サービスの詳細やお見積りなど担当者よりご返事します

メールアイコン フォームでのお問い合わせ
1
ご相談やご質問をお知らせください
2
担当者よりメールまたはお電話でご連絡いたします

お問い合わせ・見積依頼はこちら

海外でのIT環境構築にお困りですか?
お気軽にお問合せください

お問い合わせ・見積依頼はこちら