重要インフラ
現代のサイバー脅威からレガシーOTシステムを守る
多くの製造工場では、長年にわたって稼働し続けるOTシステムに依存しています。その長い稼働期間の陰に、重大なサイバーセキュリティリスクが潜んでいることがあります。
稼働率を最優先とする製造工場において、長年にわたって同じ物理的プロセスをほぼ問題なく動かし続けてきたマシンは、スループットの実績よりも語られることの少ない何かを獲得しています。それは「組織的な信頼」です。こうした静かな安定性は時を経るにつれ、ある種の点検を不要なものに感じさせ、やがてその機器はセキュリティ上の盲点になりかねません。
長い間、「うまくいっているものには手を触れるな」という考え方には一定の合理性がありました。製造業における運用技術(OT)の多くは、物理プロセスを安定的に維持するために設計されており、生産ラインが正常に動いている限り、設備を良好な状態に保ち、その役割を果たし続けさせるのが賢明な判断でした。
しかし年月が経つにつれ、その足元の地盤は変化しており、変更に最も対応しにくい設備が今や最も手厚い保護を必要とするケースが増えています。現在、多くの製造現場では次のような切実な問いに直面しています。ネットワーク経由でその機器に触れることができるのは誰か、マシンが依存しているシステムはどれほど脆弱か、そして「動いているうちは触るな」という旧来の考え方そのものがリスクの一部になっていないか——。
老朽化という現実
20〜30年前、製造業においてインターネット経由の攻撃を心配する人はほとんどいませんでした。脅威が存在しないか、あるいは一握りの国家レベルの標的に限られていたからです。産業用プロトコルにセキュリティ機能が組み込まれていなかったとしても、それは大きな問題ではありませんでした。マシンはITから隔離されており、信頼できないものが近づく余地はありませんでした。設備はただ動き続け、手を加える理由もなかったのです。
それが変わりました。デジタル化とインダストリー4.0の象徴ともいえるITとOTの「融合」が状況を一変させました。産業制御システム(ICS)が、そもそも想定されていなかったネットワークへと接続されるようになったのです。生産システムを企業ネットワークに接続することには明確なメリットがありますが、かつては安全だったシステムが突然そうではなくなるというセキュリティ上の影響は、もっと静かに忍び込んできました。脆弱な認証、限られたログ機能、安全でないデフォルト設定、そしてコストのかかるダウンタイムを要するアップデートプロセスなど、さまざまなセキュリティ上の欠陥が一気にリスクとして顕在化したのです。
SANSインスティテュートによると、さまざまな業界におけるOT攻撃の約60%は、企業のITシステムへの侵害を起点としていると考えられています。また同機関が最近実施した調査では、重要産業に属する組織の22%が過去1年間にサイバーセキュリティインシデントを経験したと回答しており、そのうち40%が業務上の混乱を引き起こし、約20%は復旧に1か月以上を要したことが明らかになっています。
脅威の深刻さは、実際に発生した破壊的なサイバー攻撃によって明確に示されました。その一例が2025年にジャガー・ランドローバーを襲った攻撃で、現在ではイギリス史上最大の被害をもたらしたサイバー攻撃と見なされています。さらに、サプライチェーンはタイトなスケジュールと極めて低いエラー許容度のもとで動いているため、ジャストインタイム納品を約束するサプライヤーを止めることは、多数の企業を巻き込む本格的な生産危機へと発展します。
稼働中ラインに手を入れるコスト
明らかな運用上の問題がないにもかかわらず、稼働中の生産ラインを停止してインフラを更新するのは、一般的に説得が難しい話です。資産は物理プロセスに深く組み込まれており、世界の主要サイバーセキュリティ機関が的確に表現している「自己確立型陳腐化」の罠にはまっていることも少なくありません。
一方、製造業に本腰を入れて目を向けたランサムウェアグループは、何年にもわたってセキュリティ投資なしに拡大してきた攻撃対象領域に直面することになります。また、運用環境に影響を及ぼす被害は、純粋なIT侵害とは性質が異なります。OT専用の攻撃能力を開発しつつあるランサムウェアの運用者たちはこの計算を理解しており、それに合わせて要求額を設定しています。企業のITシステムに侵入し、あとは依存関係が連鎖的に被害を広げるのを待つだけで十分なケースもあります。
ビジネス上の計算式も変わりつつあります。もっとも、その変化は多くの場合、外部からもたらされるものです。サプライヤー契約にはセキュリティ関連の条項が盛り込まれるようになり、サイバー保険会社もセキュリティ管理の証明を求めるようになっています。これを提示できない組織は、高額な保険料を受け入れるか、補償なしという状況に追い込まれます。また、規制上の要件も各地で厳格化が進んでいます。欧州ではNIS2が重要産業に対してより厳しいサイバーセキュリティ要件を課しており、米国においても幅広い規制環境が重要産業のセキュリティ成熟度を高める具体的な対応を義務付けています。
主要サイバー脅威の詳細
重要インフラを標的とした脅威に、ESETほど深く関わってきたセキュリティベンダーは多くありません。同社の脅威調査チームはこれまで、記録に残る最も重大なインシデントのいくつかを内側から解析してきました。その中には、2015年にウクライナで23万人を対象に4〜6時間の停電を引き起こしたBlackEnergy、その後継であるGreyEnergy、そして世界の重要インフラシステムで使用されている複数の産業通信プロトコルを話し、2016年にキーウで停電を引き起こした高度にカスタマイズ可能なマルウェアIndustroyerが含まれます。2022年には、ウクライナのエネルギーインフラを再び標的にしたIndustroyer2も特定しています。また、ESETによるNotPetyaの分析は、特定のOTを標的としない攻撃であっても、製造業者を含む大規模なOTを運用する組織に壊滅的な被害をもたらしうることを記録しています。
重要設備を守るセキュリティの(再)構築
言うまでもなく、見えないものは守れません。適切な資産の可視化は、あらゆるリスク軽減戦略の基盤として今も変わりません。まず、環境内でどのシステムがネットワークに接続されながらセキュリティが未適用か、ITとOTのネットワークがどこで交差しているか、どのセグメントが監視されていないか、そしてどの生産システムがベンダーサポート契約の対象外になっているかを把握することから始めてください。サイバー・フィジカルシステムの複雑さを考えれば、資産インベントリなどのタスクに万能な手法が存在しないことは明らかです。
実際の展開アーキテクチャも早い段階で検討する必要があります。設計上の理由であれ、顧客契約、規制上の義務、その他の事情によるものであれ、エアギャップ要件のもとで運用される製造環境もあります。クラウド接続を主体に構築されたセキュリティプラットフォームは、そのような要件や予算に合わない場合があります。
また、既製品のセキュリティツールは、古いハードウェアや旧式なOSバージョンで動作するレガシーOTシステムの要件を効率的に満たさないことが多くあります。ツールは制約のあるシステム上で動作しても生産に影響を与えないよう、安定していて目立たないものである必要があります。ネットワーク保護はとりわけ、セキュリティエージェントをまったく実行できない機器においてその真価を発揮します。これは多くの製造環境でエッジケースでは決してありません。
長期サポートは、ほかの対策では完全に補えない部分を担います。ICSベンダーがあるプラットフォームバージョンの開発を終了すると、やがてアップデートも提供されなくなります。そのバージョンで動く生産システムは何年も稼働し続け、新たな脅威にさらされるリスクが蓄積していきます。元のベンダーのサポート期間を超えたサポートコミットメントは、何年も前に製造中止になった車のための長期部品供給契約を締結するようなものです。マシンを「走れる状態」に保つことができます。
長期稼働を前提とした設計
製造業には、技術力でピンチを乗り越えてきた長い歴史があります。そしていくつかの苦い教訓も学んできました。その一つが、既知の問題を放置すると、コストが先送りされるだけでなく多くの場合は膨らむという事実です。OTインフラに対するサイバー脅威は今や十分に文書化されており、それに対処するためのツールも存在します。この業界においては、それだけで動き出す十分な理由となるはずです。そして最終的には、サイバーレジリエンスを産業の運営そのものに組み込むことにつながるでしょう。
