事業継続計画（BCP）は、東日本大震災後にあらゆる企業が見直したとおり、企業にとって重要な経営課題のひとつです。もしも予期せず事業が停止したら・・・事業を復旧させるためのコストだけでなく、事業停止中の逸失利益、信頼性の失墜による将来的な損失、サプライヤーであれば納入先の損害補償など、マイナス・インパクトは計り知れません。

事業継続性を脅かすのは自然災害だけではありません。今後、産業用IoTを活用する企業にとってはOT（オペレーション・テクノロジー）セキュリティもBCPの重要要素に。今回は、今月開催したGE Digital Day 2016に登壇したGE Digitalのインダストリアル・サイバーセキュリティ担当グローバルディレクター、ラジブ・ナイルズが示した「OTセキュリティ」のポイントをご紹介します。

OTセキュリティの障害検知に要する時間はなんと272日
ナイルズはセッションの冒頭「OTシステムの場合、MTTD（Meantime to Detect；マルウェア感染など、障害検知に要する時間）は平均272日と言われています。これに対して、セキュリティ対策の整ったITシステムのではMTTDは24時間以内。その差は歴然としています」と切り出し、セキュリティ・リスクを可視化する機器やツールが十分に揃っていないがために、リスクに気づくことさえままならないOTセキュリティの現状を訴えました。

ラジブ・ナイルズ
GE Digital ?Wulrdtech リージョナル・テクニカルセールス・ディレクター
これまでにもシスコシステムズでディレクター職を務め
ITとIoTの分野で20年以上の経験を有する専門家

別の記事でもご紹介したように、意識的にせよ、そうでないにせよすでに膨大な産業機器がネットワークに接続されており、どこでどんな産業機器が稼働しているのかを簡単に調べられる検索エンジンまで存在しています。しかしながら、企業の66％は、OTセキュリティに対する準備ができていないのが現実。その理由は “ネットワークに接続していることを知らなかった”、”メンテナンスなどで一時的にネットワーク接続して以来そのままになっている” など、さまざま。まさに、OTセキュリティは「いまそこにある危機」に他なりません。

ITとOTでは、優先順位がまったく異なる
ラジブ・ナイルズは「ITセキュリティでは保護対象がデータであるのに対し、OTセキュリティでは（運転が止まっては困るような）重要設備がその対象となります。このことが、優先順位の違い、ひいてはアプローチの違いとなって表れます」と強調します。

ITセキュリティにおいては、守るべきはデータであり、まず情報漏洩を防ぐこと、次に改ざんなどによりデータの正確性が失われないようにすることが優先的な課題です。そのためには、システムを一時的にシャットダウンしてでもパッチを当てるなどの対策を行うことから、優先順位はC（機密性）/I（完全性）/A（可用性）の順になります。一方OTでは、たとえばエンジンの回転数など、データそのものには第三者にとっての価値はあまりありません。最も重要なのは、動いている設備を止めないこと。したがって優先順位はA（可用性）/I（完全性）/C（機密性）となります。また、順調に動いているモノにパッチを当てることは二次的な問題の発生につながるおそれがあることから、OTにおいてはできるだけ避けたいという意識が働きます。さらに、ITではセキュリティ規格の標準化が進んでいるのに対し、OTではメーカーごとの独自仕様も多く、汎用的なセキュリティ製品の開発を難しくしている側面があるなど、ITとOTではセキュリティへの取り組み方も異なってきます。

OTセキュリティの専門企業が提供するサービスとは
OTセキュリティは重要機器を保護の対象としていますが、そこでの脅威はネットワーク経由でのみ発生するというわけではありません。従業員はもちろん、メンテナンス事業者、果てはITの専門家であるSEに至るまで、あらゆる「人」および人が出入りする「環境」などにもリスクは潜んでいます。そのため、GE傘下のOTセキュリティ専門企業、Wurldtech（ワールドテック）では、デバイス・メーカー/システムインテグレーター/ユーザー企業といったOTセキュリティに関わるさまざまなプレイヤーに対し、ハードウェア/サービス両面にわたる包括的なOTセキュリティ・サービスを提供するとともに（下図）、業界標準規格策定への貢献、導入事例をはじめとする情報共有など、多面的な活動を行っています。

Wurldtechが提供する「OPSHIELD」は、SCADA（制御システム）に組み合わせることで設備へのコマンドや稼働状況を監視し、悪意のハッカーの侵入などをモニタリングします。実際にOPSHIELDを導入したケースでは、導入後わずか2時間で2つのマルウェアを発見し、異常なIPアドレスからのアクセスを特定するなど、MTTDが桁外れに長いOTの弱点を克服する成果が報告されています。OTにはOT専用のセキュリティが必要です。GEはOTセキュリティのベストプラクティスを生み規格化を働きかけるだけでなく、理解啓蒙と対策普及を呼びかけていきます。