情報セキュリティコラム
OTとはOperational Technologyの略で、生産設備や物流設備等の設備系で使用されるテクノロジーのことで、OTセキュリティは設備系テクノロジーに対するセキュリティを指します。
IoTはインターネットと接続するOTの事を指すが、Internet of OTではなく、Internet of Thingsの略となります。IoTはインターネット接続を前提とした設備系テクノロジーのセキュリティのこととなります。
情報セキュリティはOTやIoTの世界ではなく、企業の情報システムであるITの世界で生まれ、発展してきました。それに対してOTの世界は、設備に閉じた世界になっており、セキュリティが話題に上がることは少なかったと認識しております。しかし、ITのネットワークとOTのネットワークが相互に接続されるようになったり、OTがインターネットと接続しIoTに進化したことでOTやIoTの世界にもセキュリティが必要になってきています。
ITの世界で使用されるのはPCやサーバーのような汎用的な機器であったり、OSやアプリケーションソフトウェアも汎用的なものでした。そのため、セキュリティ機器やセキュリティソフトウェアも、汎用的なものでよく、同じ製品が多くの企業に導入され運用されるようになっていました。
しかし、OTの世界では、設計された設備の仕様が要件によって異なるため、汎用的ではなく専用的なものにならざるを得ませんでした。
そのため、ITの世界のセキュリティ製品やソフトウェアをOTやIoTの世界に導入しようとしても導入できる場面は限定的であって、部分的な導入しかできないという課題がありました。
OTのベンダーはITベンダーとは、異なります。主要なOT&IoTベンダーの数は限られており、寡占状態のマーケットが作られています。そのためITベンダーがOT&IoTのマーケットに進出しようとしても参入障壁が高く、新規参入は難しい構造になっています。
現状、OT及びIoTセキュリティの、肝心のラインやプラントへの導入はうまくいかず、脆弱性調査や診断のレベルに止まっています。唯一成功しているのは、ラインやプラントの外側に配置するWEBカメラによる監視システムです。監視カメラであれば、ラインやプラントとは無関係に進められるためOTベンダーも反対しないし、簡単に導入できます。
ラインやプラントに導入するにはOTベンダーの協力が必須となります。
OT&IoTにセキュリティを導入する方法は3つ考えられます。
現実的には、このケースが多いですが、OTネットワークを閉鎖型で構築して、境界にファイアウォールやUTMを設置して、厳密な通信制御を行う前提でIT系ネットワークやインターネット接続を行う方法である。本格的なセキュリティシステムを導入するわけではありませんが、OT領域のセキュリティは維持できます。
難易度は高いですが、OTベンダーと協業して、新規のラインやプラントを構築する際に設備設計と併せてセキュリティ製品・ソフトウェアを導入する方法であす。一部のセキュリティベンダーが日本進出を図っている海外のOTベンダーと協業しようとする事例はできつつあるが、まだ多くはありません。
現状のセキュリティ製品・ソフトウエアはIT向けでOT向けではないことが理由の一つと言えます。OTの世界でもネットワークの標準化は進んでおり、OT系のPLCやSCADAのような製品での主要メーカーは限られており、そのような製品向けのセキュリティ製品・ソフトウェアを開発すれば導入のチャンスはあると思われます。
設備がインターネット経由で情報を収集して制御に活用するケースや、設備の稼働情報をIT側の情報システムに取り込んで活用するなど、OT系をインターネットにつなぐ、IT系につなぐニーズは大きいため、今後OT及びIoTセキュリティは必要であり、マーケットは大きく伸びる可能性はあると思われます。
現状では解決すべき課題が多いため、すぐに進むことはないと思われますが、今から準備を進めておくことが必要です。
当社ではOT及びIoTセキュリティにおける導入コンサルティングサービスを実施しております。
当社は専門家によるコンサルティングが可能なコンサルティングファームです。
もし何かお悩みでしたらお問い合わせフォームやお電話にてお問い合わせのほどお願い申し上げます。
サービスごとのお問い合わせも可能です。
03-6811-1525