工場セキュリティ対策の進め方

はじめに
工場におけるサイバー攻撃について
1. 最新トレンド
  1. ランサムウェア
  2. サプライチェーンリスク
2. 攻撃の手口
工場セキュリティ対策
1. 工場セキュリティガイドラインについて
2. 対策の進め方
技術的なポイント
1. 主なポイント
  1. ネットワークの対策
  2. バックアップの取得
2. 工場セキュリティのおすすめ関連製品
  1. Morphisec
まとめ

はじめに

昨今、工場や各種制御システムに対するサイバー攻撃が数多く報道されています。
そのためセキュリティの見直しが急務とされていますが、OT（Operational Technology）環境である工場や研究所では、一般的なITセキュリティとは別の枠組みで見直しに取り組む必要があります。
その枠組みとなるのが、経済産業省が2022年11月に策定した『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0（以下、工場セキュリティガイドライン）』です。

本記事では、工場セキュリティガイドラインを通じて、サイバーセキュリティ対策の進め方と技術的なポイントについて解説します。

このような方へおすすめの記事です
　・製造業、研究機関、社会インフラなどにお勤めの方
　・ITセキュリティとは違った環境でのセキュリティ対策をどう進めたらいいかお悩みの方
　・常時オフライン状態など、OT環境特有の条件で動作するセキュリティソフトをお探しの方

工場におけるサイバー攻撃について

攻撃の手口

従来OT環境では、インターネットに直接接続しないクローズド環境で設計されていました。そのため感染経路としては、まずバックオフィスなどのコンピュータがメールやWebで感染し、そこからUSBやCDといった可搬記録媒体を経由してクローズドネットワーク内に持ち込まれてしまうといった流れでした。
しかし近年では、新型コロナウイルス感染拡大に伴い遠隔保守が導入されだしたことや、DX・スマートファクトリーといったIoT化やデータの利活用が進んだことで、インターネットに繋がることも増えてきました。

そのため、ネットワーク機器などの設定不備を突いたリモートアクセスでの侵入手口が増加傾向にあります。この場合も、ネットワークに侵入後はまずはバックオフィスなどのコンピュータを踏み台にして、セキュリティの無効化や情報収集を行いつつ、重要なシステムへと侵入します。

工場セキュリティ対策

工場セキュリティガイドラインについて

先述の通り、近年は工場をとりまく環境やセキュリティリスクが大きく変化しており、何をどう対策すべきかが非常に難しくなっています。
そのため経済産業省は、その「手引き」となるべく、工場セキュリティガイドラインを策定しました。
このガイドラインを参照することで、セキュリティに明るくない事業者や担当者も、何を、どこまで、どのように対策すればいいのかがわかるようになっています。

対策の進め方

工場セキュリティガイドラインでは、「システムのセキュリティを高めていくために何を実施すべきか」について、以下のように3つのステップに分けて記載されています。

^{出典：経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0」}

それぞれのステップの内容を要約すると、以下の通りです。

①セキュリティ対策の立案前に必要なこと
②セキュリティ対策の立案
③セキュリティ対策の実行と、実行後の運用

それぞれの概要について、一部重要なポイントに絞って解説します。

セキュリティ対策の立案前に必要なこと

セキュリティ対策を行う前に、必ず実施しておくべき整理事項が記載されております。

(1)は「経営目標等の整理」です。サイバーセキュリティ戦略とはただの「費用」ではなく、企業価値や国際競争力を高めるための「投資」であり、企業の経営目標を実現するために立案されるべきだからです。この整理が行われない限り、「経営上重要なポイントに必要なだけのリソースやコストを割く」ということができません。
つまりは、「全てのリスクへの対応は難しいので、事業に与える影響度と、そのリスクの実現可能性から対応の優先度をつける」ということです。

(2)は「外部要件の整理」です。
取引先や親会社の求めるセキュリティ基準・新しい法規制・業界標準となるガイドラインなど、どのような要件があるのかのキャッチアップと、自社はどの程度対応できているかを確認する必要があります。
特に今回策定された工場セキュリティガイドラインは、これをベースに各社・各業界が各々のガイドラインを作成し、サプライヤーとの取引において準拠を求めるようになるとの予想が、大手セキュリティ会社から発表されています。
しかし一方で、経産省と公正取引委員会によると、「サイバーセキュリティ対策を相手に要請する際は、取引先のコスト上昇を考慮した対価の設定でないと独占禁止法上問題となる」ということが記載されています。
つまり、親会社などが相手にセキュリティ対策を要求する際は、取引価格などについても対応コスト分を考慮しないといけないということです。
しかし、無制限に取引価格を上昇させるわけにもいかないので、セキュリティ対策にはこれまでと比べ、より一層の「必要な効果とコスト」のバランス感覚が求められます。

(3)は「内部要件/状況の整理」です。
システムや体制など、自社のセキュリティがどうなっているかを把握しなければ、どのような対策が必要なのかが判断できません。
例えば、ネットワークの構成や機器、利用しているソフトウェアなどがきちんと整理されているか。また、どのような情報を取り扱っていて、現在どのようなセキュリティ状況であるか、などです。

セキュリティ対策の立案

ここでは、物理面とシステム構成面の2つの観点から、実際にセキュリティ対策を立案していきます。
物理面では、火災や自然災害、不正侵入や窃盗など、物理的な脅威をとりあげています。
またシステム構成面では、機器などに対するソフトウェア的な脅威を想定しております。
この両方を漏れなく考慮し、工場全体のセキュリティを検討していくことになります。
特にシステム構成面は、想定されるリスクを影響度も踏まえてしっかりと想定し、コストとのバランスを見つつ現実的に対策する必要があります。

セキュリティ対策の実行と、実行後の運用

立案した対策を、きちんと自社で対応できる内容に落とし込んで実施していくステップです。
例えば部門ごとにネットワーク構成やセキュリティ要件、繁忙などが異なるため、全社一元的にセキュリティ対策を進めるのは現実的ではない場合があります。そのような時は、部門長などとスケジュールや適用内容などを合意形成し、無理のないように実施していく必要があります。
また、何事も実施だけでは意味が薄く、いわゆる「PDCAサイクル」のような継続的な見直しを、管理体制として構築することも重要です。

管理の観点としては、以下の3つです。

①計画が正しく実行されているか(内部監査)
②計画が古くなってはいないか(新たなリスクの調査)
③サプライチェーン上にリスクは存在しないか(取引先のセキュリティ状況管理)

技術的なポイント

主なポイント

経済産業省が発表した『昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)』という文書において、セキュリティ対策案のポイントとして3つの対策が挙げられています。

①リスク低減のための措置
　・破られやすいパスワードでないかの確認
　・アクセス権やアカウントの整理、本人認証の強化
　・インターネット接続機器の保有状況や脆弱性の把握・対応
　・添付ファイルの開封やＵＲＬを不要にクリックしない等を社内で徹底

②インシデントの早期検知
　・サーバ等のログを確認
　・通信状態の監視や分析

③インシデント発生時の適切な対処・回復
　・データのバックアップの実施と復旧手順の確認
　・インシデント発生時の対応手順や連絡体制の準備・確認

上記は主に、青字が人的な対策、赤字がソフトウェア対策と分類できます。
そしてソフトウェア的な対策については、工場セキュリティの特性上、以下のような手法が主に推奨されています。

ネットワークの対策

機器の稼働への影響から、負荷の高いアンチウイルスソフトの導入やセキュリティパッチ更新による頻繁な再起動が難しい為、以下のようにネットワーク上に機器を新しく設置する対策が多いです。

・ネットワークの分割
・ファイアウォール導入
・中継サーバ導入
・サンドボックス導入
・IDS(侵入検知システム)導入

バックアップの取得

ランサムウェア被害にあった場合、バックアップの有無でその後の復旧対応が大きく変わります。
昨今ではオンライン上でのバックアップデータも攻撃対象となるため、オフラインのバックアップも重要視されています。

バックアップについてはさておき、ネットワークの対策については、いずれも大きなコスト(金額、導入・運用のための人的リソース)が必要です。
先述の『昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)』では、「インシデントの早期検知のため、サーバのログや通信状況を常に監視・分析すること」が重要である旨が書かれています。
それは、サンドボックスなどの機器を導入するたびに、その大量の検知内容を逐一チェックし、正常か異常かを判断し続けなければいけないことを意味します。
その為だけに人手を割き続けることは、特に中小企業にとって非常に困難です。

工場セキュリティのおすすめ関連製品

ここまで何度か、セキュリティ対策は必要な機能とコストのバランスが重要だと記載してきました。
ネットワーク対策機器は導入コスト、運用コストの敷居が比較的高く、また導入後の運用も難しい傾向にあるため、非IT企業にありがちな「IT資産を活かしきれず腐らせてしまう」といった状況を招きかねません。

しかし、コストや複雑さを増すことなく、セキュリティ体制を強化できる製品があります。

Morphisec

Morphisecは、「Install & Forget(導入したら忘れる)」を開発コンセプトにした、導入後の運用負荷が低いセキュリティ製品です。

工場にありがちな、以下のような課題にも対応しています。

①多様化する感染経路や未知の攻撃への対応が難しい
従来のインターネット接続方式に加え、昨今は保守部門・外部保守会社用のリモートアクセスや、外部拠点や関連企業とのネットワーク接続など、アクセス経路が増えております。そしてそれに伴い、設定不備などのセキュリティの穴やセキュリティの弱い部分などのリスクについても増加の一途を辿っています。
それらすべてに対応することは困難であり、昨今では「ゼロトラスト」、つまり「侵入されてないように防御しているから他の機器などは安全」とは考えず、「侵入されているかもしれないから、内部の他の機器も無条件には信用しないようにしよう」というような考え方が主流となっています。Morphisecはゼロトラストに対応した製品です。

②セキュリティ製品のアップデートが難しい
機器の故障などで入れ替える際、最新のWindowsなどに合わせてセキュリティ製品のアップデートが必要になるケースが数多くあります。その際、通常は既存の業務用ソフトウェアとの動作競合をチェックしながらの検証が必要となり、最悪の場合、必要なソフトウェアが動かなくなってしまうことも考えられました。しかしMorphisecではアップデートが必要ないため、そのような検証作業やリスクが発生しません。

③脆弱性パッチの適用ができない
Morphisecは脆弱性パッチが必要となるようなソフトウェアではない為、クローズドネットワークのまま動作可能です。

④システム停止や再起動ができない
Morphisecはアップデートが必要なソフトウェアではない為、アップデートの為のシステム停止や再起動が必要ありません。

⑤セキュリティソフトによって機器の性能を低下させたくない
ファイルやアプリケーションの動作を常時監視するようなセキュリティソフトは、動作が重く、機器にかける負荷が重要な業務を妨げることがあります。
Morphisecの防御はそのような手法ではなく、端末負荷が非常に低いのが特徴です。

まとめ

近年、工場セキュリティを強化するためのソフトウェアは数多くあります。
しかし、自社のおかれている状況に合った製品を探すのは、とても困難です。

Morphisecは手軽に導入できるのも魅力のひとつであり、ソフタスにご相談いただければ無料で気軽にお試しいただけます。
実際に製品の検討段階でなくても、少しでも興味があればかまいません。
まずはソフタスまでお問い合わせください。

今回ご紹介した製品はこちら