最新のAIダッシュボードは、生産ラインを生かし続けるパッチが当たっていないレガシー技術を無視していれば、単なる高価な幻想に過ぎません。
大規模洋上風力発電所をグリッドに接続する変電所で2日間を過ごしました。管制室には3つの新しいAI対応ダッシュボードと「機械学習を活用して回復力を高める」という経営陣の命令がありました。また、Windows 7を実行しているメンテナンスノートパソコンがあり、文字通りキャビネットの内側にテープで貼り付けられていました。ベルクロが劣化していたからです。
そのノートパソコンは、グリッド接続を保護するレガシー保護リレーと通信できる唯一のデバイスでした。2017年以来パッチはなし。EDRなし。エージェントベースのセキュリティモデルへのパスなし。
10年間、エネルギー企業、自動車工場、医薬品サイトなど、業界や国境を越えてこのシーンのいくつかのバージョンに足を踏み入れてきました。ダッシュボードは変わります。「忘れられた」ノートパソコンは残ります。これは、大規模言語モデルでは解決できない、巨大な可視化ギャップです。2026年のDragos OTサイバーセキュリティ年間レビューによると、世界中のOTネットワークの10%未満が現在、有意義なネットワークモニタリングを実施しています。昨年のインシデント対応事例の30%では、検知アラートではなく、工場の床の誰かが「何か変だ」と気付くことで調査が始まりました。
AIドリブンセキュリティ戦略を計画しているC級幹部の場合、あなたは認識する必要があります。あなたの戦略がAIが十分にスマートでないために失敗することはありません。あなたの最も重要なテレメトリーがそれに到達しないために失敗します。
逆転したCIA三構成要素:AIがリスクを幻覚する場所
ITでは、機密性、整合性、可用性を優先します。OT(操業技術)では、三構成要素が逆転しています。可用性がすべてです。
この逆転がAIドリブンセキュリティツールが静かに機能しなくなる場所です。エンタープライズテレメトリー(HTTP、DNS、Windowsイベントログ)で訓練されたモデルは、ModbusまたはPROFINETセグメントを見て、完全に正常な産業トラフィックを異常としてフラグを立てます。そのAIが自動化された対応プレイブックに接続されている場合、あなたはハッカーより速く生産ラインをシャットダウンできるシステムを構築しました。
Tier-1自動車サプライヤーのために実施したシミュレーション中に、SOARプラットフォームがまさにこれを試みるのを見ました。IT責任者は「ミリ秒レベルの応答時間」に喜びました。工場マネージャーは、AIが重要なPLCを分離することで、6桁の時間単位のダウンタイムイベントをシミュレートしたことに気付き、顔が蒼白くなりました。産業界では、自動化された「ホストの分離」コマンドは、多くの場合、サービス拒否攻撃と区別がつきません。
パッシブモニタリング対コントローラーへのアクセス
Nozomi Networks、ClarotyまたはMicrosoft Defender for IoTなどのOTモニタリングプラットフォームを評価した場合、技術的な違いはしばしば1つの重大な質問よりも重要ではありませんでした。このツールはアクティブなクエリが必要ですか?
会議室では、「アクティブスキャン」は効率的に聞こえます。稼働中の工場では、メタデータを抽出するために15年前のSiemens S7-300またはRockwell Automationコントローラーをつつくと、デバイスがクラッシュする可能性があります。ベンダーのAIエンジンが運用ディレクターが署名することを拒否したアクティブなポーリングを必要としたため、ショートリストの半分が削除されているのを見てきました。
OTでAIが機能するには、パッシブなネットワークモニタリングによって供給される必要があります。Purdue Enterprise Reference Architectureのレベル0~2からの生のトラフィックが必要です。これはITとOTシステム間の境界を定義する階層化されたモデルです。そのテレメトリーがない場合、あなたは空のコーパスで言語モデリングを実行しています。実際に物理世界を管理するS7CommまたはDNP3プロトコルは見ていません。
王冠の宝石は思ったより単純です
成功するのを見ているプロジェクトは、300ページのAIロードマップから始まりません。私が王冠の宝石と呼ぶものに無情な焦点を当てることから始まります。
私は常に工場マネージャーに同じ質問をします。どの3つのプロセスを1時間でも失うことは絶対に許可できませんか?電力企業では、請求システムではなく、保護リレーです。医薬品サイトでは、単一の発酵ラインです。自動車工場では、ボディショップ全体を供給する溶接セルです。
これらを特定すると、AIの範囲は「すべて」から「重要なもの」に崩壊します。その後、パッチ不可能なWindows 7マシンを保護するための仮想パッチを適用し、ネットワークをセグメント化して、休憩室のスマートコーヒーマシン(産業用ロボットより多くのセキュリティアップデートを受け取る)が人間と機械インターフェースに到達できないようにします。
ここはほとんどのCIOを驚かせる部分です。王冠の宝石リストはほぼ常にセキュリティチームが予測するより短く、ほぼ常に運用チームが認める以上に長いです。昨年一緒に仕事をした1つのサイトでは、セキュリティはスプレッドシートに47の「クリティカル」システムをカウントしていました。工場ディレクターは、20分の誠実な会話の後、6つを命名しました。他の41は重要でしたが、王冠の宝石ではありませんでした。リアルタイムのAI駆動の異常検出は必要ありませんでした。月次コンプライアンスレポートが必要でした。これら2つの要件を混同することは、OTセキュリティ予算が測定可能なリスク低減なしでどのように消費されるかを示しています。
文化的な変化:フィッシングから物理学へ
今年実行した最も生産的なワークショップは、単一のAIベンダーを含みませんでした。これは、フィッシングメールから請負業者のUSBスティック、その後メンテナンスノートパソコンに、最終的にPLCにランサムウェアパスを追跡するテーブルトップ演習でした。
分単位でそれをマップしました。0分:調達事務が請求書の添付ファイルを開きます。8分:マルウェアはオフィスネットワーク上の請負業者のノートパソコンに到達します。14分:請負業者は、毎週火曜日と同じように、HMIファームウェアを更新するために同じノートパソコンをメンテナンスVLANに接続します。23分:ランサムウェアはエンジニアリングワークステーションを暗号化します。31分:オペレータは画面が暗くなることに気付きますが、PLCそのものについて生産は実行され続けます。なぜなら、OTコントローラーはその仕事をするためにWindowsを必要としないからです。正常性の幻想はほぼ1時間続きます。その後、誰かがセットポイントの変更をプッシュしようとすると、何も起こりません。
それが部屋を変えた瞬間でした。生産責任者は朝、別のセキュリティプロジェクトが必要な理由について尋ねていました。今、彼は請負業者のノートパソコンがメンテナンスネットワークに触れる前に、実際に8分を検出するまでどのくらい待つことができるかを尋ねていました。長年「午前2時のパッチ火曜日」の儀式を擁護していたIT責任者は、その儀式が24/7運営する施設では不可能な理由をついに理解しました。異なる語彙、同じ問題。
そのサイトでのあらゆる会議で初めて、OTマネージャーとITマネージャーは、共有されたブレームマップではなく、共有されたインシデントタイムラインで部屋を出ました。これが産業セキュリティの文化的な変化がどのように見えるかです。政策文書ではなく、誰も自分の専門用語に隠れることができないほど十分に具体的なテーブルトップです。
CIOとCSOのボトムライン
Volt Typhoonのような国家主体者が、最近のCISA勧告に詳述されているように、重要なインフラに自分自身を埋め込むために「土地から生活している」技術をますます使用しているので、工場の床を無視する贅沢はなくなっています。AIはこれらの脅威を見つけるのに役立ちますが、テレメトリーが本当の場合のみです。産業環境でAIが実際のビジネス価値を提供したい場合は、操作の順序は交渉の余地がありません。
まず、インベントリ:床をマップし、スライドではなく。第2に、セグメンテーション:休憩室からPLCへのルートを遮断します。第3に、パッシブテレメトリー:Purdue Levels 0~2からの実際の産業プロトコルでAIを供給します。その後、そしてその後のみ、言語モデルを上に層化します。
これらをスキップすると、あなたはまだ見ることができないネットワークのための非常に高価なダッシュボードを構築しました。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加しませんか?
