検索
Special

サイバー攻撃に狙い撃ちされる工場、「OT専用」のデバイスセキュリティが必要な理由とは?工場セキュリティ

人手不足やコロナ禍の影響などによりスマート工場化が加速している。しかし、工場のネットワーク接続が広がる中で高まっているのがサイバー攻撃の脅威だ。実際に工場を“狙い撃ち”する動きも広がってきており喫緊の課題となってきている。工場(OT環境)とオフィス(IT環境)とで守り方の違いはあるのか? いまOT専用のサイバーセキュリティに力を入れるトレンドマイクロに、OT環境で取り組むべき対策についてインタビューを行った。

[PR/MONOist] PC用表示
Share
Tweet
LINE
Hatena
PR

 人手不足やコロナ禍への対応などで、工場でもIoT(モノのインターネット)やAI(人工知能)など先進デジタル技術を活用したスマート化が加速している。しかし、ネットワーク接続などを前提としたこれらの技術の活用で高まっているのが、サイバー攻撃に対する脅威だ。

無防備な工場はサイバー攻撃の的に

 実際に最近では、工場を狙ったサイバー攻撃が多発しており、被害も増大している。アルミニウム製造およびエネルギー関連の大手企業であるノルウェーのNorsk Hydro(ノルスク・ハイドロ)は、2019年3月に生産管理システムがランサムウェア(システム制限により金銭取得を目的とする不正プログラム)による攻撃を受け、工場内の機器を管理できなくなり、一時的な操業停止に陥ったことが発表されている。また、米石油移送パイプライン大手のColonial Pipeline(コロニアル・パイプライン)がランサムウェアの被害にあったことも記憶に新しい(※)

(※)関連記事:ランサムウェア「DARKSIDE」および米国のパイプラインへの攻撃に関する解説

 日本の製造業でもこうした状況は無縁ではない。2020年には国内大手自動車メーカーがランサムウェアの攻撃を受け、日本、北米、英国、トルコ、イタリアでの操業停止を余儀なくされた。さらにその影響はカスタマーサービスや金融サービスまで広がりグローバルな事業に混乱が生じた。

 2020年11〜12月にトレンドマイクロが実施した日本、米国、ドイツの3カ国500人を対象とした「スマートファクトリーにおける実態調査」の結果によると、スマートファクトリーでサイバー攻撃を経験した企業は約61.2%となり、さらにその経験者の内74.5%が生産システムの停止を伴う被害にあっている。また生産システムの停止期間が4日以上としたのが43.4%となっており、大きな影響が既に生まれていることが見て取れる。

photo
スマートファクトリーでサイバーセキュリティ上の事故を経験した割合と被害の状況(n=500、3カ国合計)(クリックで拡大)出典:トレンドマイクロ
photo
トレンドマイクロ ビジネスマーケティング本部 エンタープライズソリューション部 プロダクトマーケティングマネージャー 安斎祐一氏

 トレンドマイクロ ビジネスマーケティング本部 エンタープライズソリューション部 プロダクトマーケティングマネージャーの安斎祐一氏は「これまでのランサムウェアによるサイバー攻撃は、無差別的に攻撃を仕掛けるものが大半で、製造業が被害を受ける場合も“流れ弾”的な場合がほとんどでした。しかし、ここ最近で状況は大きく様変わりし、最初から製造現場などのOT(制御技術)環境を標的にしたサイバー攻撃が多発しています」と警鐘を鳴らす。

 OT環境を標的にしていることは、ランサムウェアの質の変化からも読み取れる。これまでランサムウェアは企業内で管理しているデータを暗号化し「復号したければ対価を払え」と身代金を要求するのが主な特徴だったが、ICS(産業制御システム)をターゲットとしたランサムウェアでは、ICS関連プロセスを停止させ生産ラインの操業そのものを人質にとる形となっている。より明確に工場をターゲットとした動きが活発化しているのだ。

 現在の工場内には多種多様なIoTデバイスの導入が進んでおり、OT環境の制御システムとつながるネットワークや端末も多様化している。さらに、インターネットやクラウドを介して取引先と接続するなどデジタルのサプライチェーンも拡大している。このように外部から侵入可能な入口が以前と比べて大幅に増えている。

 ところが、工場側でのサイバー攻撃の防御体制は十分だと言い切れるだろうか。いまだに無防備な状態のままになっているケースが少なくないのではないだろうか。「社会的に影響が大きく、なおかつシステムの脆弱性が見過ごされ侵入しやすい環境となっている製造業は、攻撃者にとってかっこうのターゲットになっているのが現実です」と安斎氏はその危険性を指摘する。

OT環境に特化したエンドポイントセキュリティ

 これまで製造現場では「OT環境の制御システムはインターネットに接続しておらず外部から侵入される心配はない」という感覚で、サイバー攻撃に無頓着でいられた。しかし、前述したように工場のスマート化が進む中でOTシステムも直接的あるいは間接的に外部とつながる接点は増えている。従来のように「セキュリティは関係ない」というわけにはいかない。

 こうした課題を抱える製造業に対し、産業向けセキュリティに積極的な姿勢を見せ、さまざまなサポートを進めているのがトレンドマイクロである。2019年6月には、台湾の産業機器メーカーであるMOXAと、産業向けセキュリティに関する合弁会社「TXOne Networks」を設立。「TXOne」シリーズを、産業向けセキュリティソリューションのコアとして位置付け、製品展開を進めている。

 そして、2021年5月から「TXOne」シリーズ製品として、新たに提供を開始したのが「TXOne Stellar」である。これはスマート化が進む製造現場のOT環境向けエンドポイントセキュリティ対策製品をシリーズ化したものだ。

 TXOne Stellarは、エンドポイント向けの産業用次世代アンチウイルス「TXOne StellarProtect(以下、StellarProtect)」、特定用途端末のロックダウンを可能とする「TXOne StellarEnforce(以下、StellarEnforce)」、さらにこの2つのエージェントの集中管理コンソールとなる「TXOne StellarOne(以下、StellarOne)」の3つで構成されている。

photo
TXOne Stellarの製品構成(クリックで拡大)出典:トレンドマイクロ

 これまでもトレンドマイクロはOT環境向けのセキュリティ対策製品を展開しており、製造業をはじめとする産業向けで「Trend Micro Safe Lock(以下、Safe Lock)」などは広く受け入れられてきた。これは、実行を許可するアプリケーションを許可リスト(セーフリスト)に事前登録しておくことで、許可されていないアプリケーションがエンドポイント上で実行されることを防止するという機能を持つ。エンドポイント端末が万が一マルウェアに感染したとしても、マルウェアが実行されないので安心だ。

 ただ、工場へのサイバー攻撃が多彩化し、OTセキュリティへのニーズが拡大する中で、これだけでは対応することができない場面も増えてきていた。そこで、新たなニーズに応える製品としてTXOne Stellarを用意したという流れとなる。

 「工場のスマート化に伴い多様化するエンドポイントと、製造現場にいまだに数多く残るレガシー端末(サポートの切れた古いOSで稼働する端末)を統合管理してセキュリティを守るプラットフォームが必要です。そこでSafe Lockを機能強化したStellarEnforceを後継版とし、新たにStellarProtectとStellarOneを加えることで、現在のOT環境に特化した包括的なエンドポイントセキュリティ対策の仕組みを実現しました」と安斎氏は、TXOne Stellarの開発経緯を語る。

photo
TXOne Stellarのソリューション構成イメージ(クリックで拡大)出典:トレンドマイクロ

OT環境に負荷を与えない産業用次世代アンチウイルス

 それでは、TXOne Stellarを構成する各製品の特徴をさらに掘り下げて見てみよう。StellarProtectはこれまで世界でもほとんど例のなかった、OT環境のエンドポイントに特化した産業用次世代アンチウイルスである。

 従来型のアンチウイルスはセキュリティベンダーが更新するシグネチャファイルを使用して端末を保護するという仕組みを採用している。シグネチャファイルとは、既知のマルウェアの特徴や攻撃パターンに関する情報をまとめたものである。端末内部に保存されているファイルをスキャンし、このシグネチャファイルとパターンマッチングを行うことでマルウェアを検出する。

 しかし、この処理が常にエンドポイント上で動作するのではOT環境に重い負荷を与えてしまい、さまざまな機器の操作や制御に支障を生む恐れがある。そこでStellarProtectは産業用に特化した前処理を加えた。具体的にはStellarProtectは主要な産業用アプリケーションや産業機器ベンダーの証明書のデータベースを持っており、これに基づいて信頼性が認証されたファイルについては、シグネチャファイルとのパターンマッチングの対象から除外し、システムへの負荷を軽減する。「これにより90%以上のファイルを事前にフィルタリングします。信頼性が確保されていないファイルには、パターンマッチングと機械学習型検索により既知と未知の脅威を検出して、OT環境のエンドポイントのパフォーマンスとセキュリティを両立させます」と安斎氏は価値を訴求する。

 さらにオペレーション振る舞い検知機能により異常な操作を検出し、ファイルレス攻撃を防ぐ他、ICSアプリケーションセーフガード機能により、産業用アプリケーションの関連ファイルが不正に上書きされることを防止します。また、許可したUSBメモリのみを使用可能とする機能により工場内部でのUSBメモリの不正利用を止めることも可能だ。こうした多階層のセキュリティ対策によりStellarProtectは、OT環境のエンドポイントの保護を効率的に実現するのである。

photo
StellarProtectの概要(クリックで拡大)出典:トレンドマイクロ

工場内に数多く残るレガシーOSを保護

 一方のStellarEnforceは前述した通り、Safe Lockの後継製品となる。製造現場に数多く残っているWindows XPやWindows 2000といったレガシーOSで稼働する機器や設備も保護できる点が特徴だ。ベンダー側のサポートが切れたこれらのレガシーOSは、脆弱性に対する新たなパッチが提供されないため攻撃者にとってのターゲットとなり、使用が推奨できない状況だ。しかし、製造現場の設備や機器は10年以上使用するケースも数多くあり、これらの稼働を守るためには、リスクは認識しつつも使い続ける必要がある。

 StellarEnforceはこうした環境を守るためのものだ。オペレーション、USBデバイス、データ、設定のあらゆる要素に対してロックダウン(システムの特定用途化)を行うことで、OT環境のエンドポイントを保護する。「加えてこの仕組みは、インターネットに接続されておらず最新パッチの適用やシグネチャファイルの更新をタイムリーに行えないエンドポイントにも、有効に機能することになります」と安斎氏は補足する。

 さらにトレンドマイクロでは、手動マルウェア検索機能を備えたStellarEnforceも同時リリースしている。シグネチャファイルとのパターンマッチングが常時動作するのを避け、任意の時間帯に実行できるようにすることで、OT環境の運用に与える影響を軽減する。業界によっては、許可リスト(アプリケーション制御)だけでなくパターンマッチングによる定期的なマルウェア検索が求められるケースがあり、そのニーズに対応する。

photo
StellarEnforceの特徴(クリックで拡大)出典:トレンドマイクロ

 そして、StellarProtectとStellarEnforceを統合管理するStellarOneにも、単なる管理コンソールにとどまらない大きな特徴がある。それは資産管理機能だ。「StellarOneの画面上にStellarProtectやStellarEnforceがインストールされているエンドポイントとIPアドレスを一覧表示するとともに、各エンドポイント上でどんな種別のOSのどのバージョンが動いているのかといった状況を簡単に把握することができます」と安斎氏は説明する。こうしたStellarOneの機能をTXOne Stellarのユーザーは無償で利用可能としている。

photo
StellarOneの資産管理画面のイメージ(クリックで拡大)出典:トレンドマイクロ

 TXOne Stellarは、これらの多彩な機能を、サブスクリプション型で利用できることも特徴となっている。ライセンスを毎年同額で契約することができ、更新しなければ機能が停止する仕組みだ。

 「『モノからコトへ』というコンセプトのもとで、製造業自身も製品の売り切り型ビジネスからサービスを主体としたビジネスへの転換を図っています。今回TXOne Stellarを提供するにあたってサブスクリプション型を採用したのも、そうした製造業のトレンドに沿うものです」と安斎氏はこの狙いを語る。

 一方で、国内のニーズに合わせて買い切り型のライセンスも用意している。「工場において長期間使用する装置だけでなく、セキュリティ機能を機器そのものに組み込みたい製造装置メーカーなどへの導入なども視野に入れています」と安斎氏は考えを述べている。

セキュリティ統合監視ソリューションを拡充

 セキュリティ対策に終わりはない。現在のTXOne Stellarによって、OT環境における制御情報ネットワークや制御ネットワークといったレイヤーのエンドポイントセキュリティの統合管理を行うことが可能となるが、一方でPLCやシーケンサーなど独自のプロトコルで制御を行っているフィールドバスは手付かずのままで残っている。工場のスマート化を進めていく上では、有線ネットワークだけでなくローカル5GやWi-Fi 6に代表される無線ネットワークのセキュリティ対策も必要となるだろう。

 さらに今後、製造業がDX(デジタルトランスフォーメーション)を推進していく上で、OT環境と情報システムネットワークの連携もますます不可欠のものとなっていく。そうした中では単にサイバー攻撃の侵入を防御する「予防」だけではなく、侵入されることを前提とした「監視」、特定の機器や設備に何らかの被害が出た場合に局所化し動作を継続する「持続性の保護」といった3段構えの対策が求められることになる。こうした製造業を取り巻く課題に取り組みつつ、「OT環境のより幅広いレイヤーを対象とした統合管理、さらにはIT環境とOT環境の脅威検知とレスポンスの統合管理も見据えています」と安斎氏は、今後に向けた計画を示す。

 製造業がデジタルを活用したビジネスの進化と持続的な成長を遂げていく上で、セキュリティがネックとなることは絶対に避けなければならない。TXOne Stellarをプラットフォームとすることで中長期的な観点からも、高度化するサイバー攻撃の脅威から工場やサプライチェーン全体を保護するセキュリティ対策を確立することができるのだ。

「近代化するOT環境に求められるセキュリティ〜OT特化のTXOne Stellarシリーズ解説〜」ライブウェビナー開催

 トレンドマイクロは2021年6月15日(月)にTXOneシリーズの新製品「TXOne Stellarシリーズ」を紹介するウェビナーを開催します。昨今の工場は外部とのネットワーク接続やIoTの活用が珍しいことではなくなってきた一方、サイバーセキュリティへの備えは十分とはいえません。対策が後手にまわる理由を、トレンドマイクロが蓄積したOT業界の知見を基に解説します。その上で、従来のセキュリティ対策だけではなくなぜOT特化の製品が求められるのか、OT特化の機能がどのように役立つのかを、具体的な機能をとりあげて紹介します。サイバーセキュリティの専門家によるOTセキュリティをぜひご覧ください。

  • ウェビナー詳細: https://resources.trendmicro.com/jp-webinar-form-0330-stellar.release.html
  • 対象: 主に製造業でモノづくり関連職(生産技術、研究・開発系)に従事されている方。また、IT/OT問わず工場のサイバーセキュリティに関与する方
  • 講師: TXOne Stellarプロダクトマーケティングマネージャー 安斎 祐一
photo
(※)同業他社および個人の方のご参加はお断りさせていただく場合があります

提供:トレンドマイクロ株式会社
アイティメディア営業企画/制作:MONOist 編集部/掲載内容有効期限:2021年6月23日

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る