OTセキュリティ対策を推進する上で知っておきたい基本をまとめて解説！

今回は、株式会社ブロードバンドセキュリティ様、Moxa Japan合同会社、弊社の3社で主催した「可視化から始める！制御システム(OT)セキュリティ オンラインセミナー～生産現場のセキュリティをめぐる最新状況と実践できる効果的な施策～」から、登壇者による合同パネルディスカッションを中心にレポートしましょう。

 

本編に入る前に、先に行われた3つの講演について簡単にご紹介します。第1部では、株式会社ブロードバンドセキュリティでセキュリティ戦略コンサルタントを務める山田伸和氏に、セキュリティアセスメントの現場から見た生産現場ネットワークの現状と、セキュリティリスクについて解説していただきました。

 

米パイプラインなどの重要インフラへのサイバー攻撃や、産業制御システムのセキュリティに対する10大脅威、サイバー攻撃のシナリオ、今後の対策としての事前リスクアセスメントの概要などをコンパクトにまとめて頂きました【★写真1】【★写真2】。

 

 

 

また第2部では、台湾の産業用ネットワークメーカー、Moxa Japan合同会社でIIoT事業開発マネージャーを務める長澤宣和氏に、OTとITの融合とセキュリティを両立させる「CC-Link IE TSN」のセキュリティガイドラインと、Moxaが取り組むサイバーセキュリティ製品について説明していただきました。

 

同社では、サイバーセキュリティ対策に向けて3つのソリューションを提供しています。1つ目が対策の第一歩としてのマネージドネットワークスイッチとソフトウェア、2つ目がネットワークをセグメントごとに分割し、インシデントが起きた際の影響範囲を限定させるマネージドL3スイッチ、そして3つ目が強固なセキュリティを実現する次世代ファイアウオールです【★写真3】【★写真4】。それぞれ必要な対策に合わせたわかりやすい製品ソリューションとなっていますので、詳しい仕様をご入用の場合は弊社までお問い合わせください。

 

 

 

第3部では、弊社のフィールドアプリケーションエンジニア、片岡浩一朗が、現場のサイバーセキュリティの第一歩として、可視化と設計の基本を踏まえて、ネットワークの「見える化」を実現するMoxaの管理ソフトウェア、MXviewの最新版のデモンストレーションを行いました【★写真5】。

 

 

これらの詳細の資料をご所望の方は、プレゼン資料をご用意していますので、株式会社ブロードバンドセキュリティ様のプレゼン資料はこちらから、Moxa Japan合同会社のプレゼン資料はこちらからダウンロードして下さい。(ダウンロードには会員登録が必要です。)

 

世界的に見ると、日本の製造業はネットワークを管理しない現場と思われている！

さて、ここからは本題となる合同パネルディスカッションの模様についてお届けします。日本の産業用ネットワークの現状を踏まえつつ、課題だらけの生産現場のネットワークについて、2つのトピックを中心に議論が繰り広げられました【★写真6】。

 

 

まずトピック1の「工場ネットワークのセキュリティをどのように担保するのか」というテーマでは、日本の産業用ネットワークの問題点について、特にセキュリティ面から、活発な議論が行われました【★写真7】。

 

 

最初に口火を切ったのはMoxa Japanの長澤氏です。グローバルで事業を展開する同社にとって、日本市場は他国と比べて、かなり特殊な地域性があるようです。

 

「我々はアンマネージドスイッチ（ハブ）と、ネットワーク管理が可能なマネージドスイッチを販売しています。グローバルで見ると7:3の割合でマネージドスイッチが主流になっていますが、日本では逆に3:7でアンマネージドハブが売れています。そういう点でいうと、日本はネットワークを管理しない国だと思われています。なぜなのか、その理由が知りたいです」と疑問を呈しました。

 

この点について、Moxaの国内代理店として日々メーカーの声を聴いている弊社プロダクトマネージャーの王（ワン）は「やはり日本企業はコスト面を重視していたり、一度ローンチした既存システムを変更したがらない傾向があるからだと思います。またマネージドスイッチの使い方にも偏りがあると感じています」と率直な意見を吐露しました。

 

これを受けて長澤氏は「特に日本市場は、ITを含めてセキュリティに対してコストを掛けたくない風潮があるように思います。しかし、最近は現場レベルで、考え方も変わってきたように思います」とコメント。

 

ブロードバンドセキュリティの山田氏は「我々も産業システムに向けてセキュリティサービスを始めたばかりですが、最近特に製造業でサイバー攻撃が増えており、情シス部門が主導する形で工場セキュリティを考える企業が増えています」とセキュリティトレンドに変化の兆しがあることを指摘しました。

 

現場視点でユーザーと接している弊社フィールドアプリケーションエンジニアの前澤は、「昔の流れからアンマネージドスイッチを使うユーザーが多かったのですが、最近ではマネージドスイッチの高付加価値を評価して採用しているケースもよく目にするようになりました。肌感覚としても徐々に変わってきている段階だと思います」と説明しました。

 

現時点では、まだ現場にセキュリティに関連する製品やソリューションが浸透しているというところまではいっていないようですが、その重要性はかなり広まってきているようです。コスト意識の高い日本の製造現場では、まずはアンマネージドスイッチからステータスを管理できるマネージドスイッチへの切り替えという取り組みやすいところから始めるのもいいかもしれません。

 

セキュリティ対策は顧客マターでなく、SIerとセットメーカーがスクラムを組んで対処

トピック2の「OTセキュリティに担い手は誰？ SIer? 現場？ ベンダー？」というテーマでは、リアルタイムでWebinarの視聴者からアンケートを取りました。その結果は以下の通りとなり、エンドユーザーが62％と最も高い結果となりました【★写真8】。

 

 

山田氏は「工場セキュリティを現場が当事者として考えるという意味で、納得できる結果だと感じました。ただし工場で生産ラインをリモートメンテナンスする場合など、セキュリティ面を考えると、エンドユーザーに対して、SIerやセットメーカーが積極的に協力して頂く必要があります」と語り、外部の働きかけも重要という見解を示しました。

 

この点について前澤も「実際にOTセキュリティの需要も増えており、我々もエンドユーザー視点でお客様にしっかりと提案させていただこうと考えています」と賛同しました。またプロダクト担当の王は「今回のアンケート結果から、ユーザー意識の高さが分かって感動しています。我々が過去に蓄積してきた知見を外部のSIerやセットメーカーに対して共有する義務があると感じています。お客様の抱える問題や到達したいゴールに向け、（ソリューションの）選択肢を提案していきたいですね」と強調しました。

 

その一方で、Moxa Japanの長澤氏は「セットメーカーと話をする中では、セキュリティ対策はお客様マターという声が強いという印象もあります。しかし最近は、メーカーも自らの製品をセキュアにする方向に進んでいます。コンポ―ネントレベルでのセキュア規格も出ているため、エンドユーザー側からメーカーにご相談してもよいのかとも思います」と提案しました。

 

やはり、これからの日本の製造業は、SIer・メーカー・ユーザーが三位一体となって、OTセキュリティを強固にしていく必要がありそうです。今回のセキュリティのプロが語るガチンコ本音トーク、みなさんはどのように感じましたか？　これからも弊社では、ユーザーの皆様の視点に立ったお役に立つ情報を続々セミナーとして公開していきます。

 

コラムで取り上げた製品についてはこちら

製品	産業用ネットワーク管理ソフトウェア MXview