ITとOTセキュリティ：主な違いとベストプラクティス

ITおよびOTセキュリティとは何か？

ITおよびOTセキュリティは、攻撃者が現在単一の攻撃対象領域として悪用している2つの異なるドメインを保護します。この問題の規模は文書化されています。FBIの 2024年インターネット犯罪報告書では、重要インフラ組織から4,800件以上のサイバー攻撃被害の苦情が寄せられており、これらの分野で最も蔓延している脅威であるランサムウェアは前年比9%増加しています。ITおよびOTセキュリティは、業務システムと産業プロセスを分離し、ITの侵害が物理的な障害に発展する前に阻止することで、そのリスクを低減します。

ITセキュリティは、業務情報の処理、保存、伝送に使用するシステムを保護します。サーバー、ノートパソコン、クラウドプラットフォーム、エンタープライズアプリケーションなどがその対象です。優先順位モデルは、従来のCIAトライアド（機密性、完全性、可用性）の順に従います。サーバーに緊急パッチが必要な場合は、オフラインにしてアップデートを適用し、再稼働させます。

OTセキュリティは、物理世界と直接やり取りするシステムを保護します。SCADAシステムによる電力網の監視、化学プロセスを制御するPLC、水処理プラントを操作するHMIはOT資産です。 NIST OTセキュリティガイドは、OTを「物理環境と相互作用する幅広いプログラム可能なシステムおよびデバイス」と定義しています。優先順位モデルはAIC（可用性、完全性、機密性）に逆転します。稼働中のリアクターを火曜日のパッチサイクルのために停止することはできません。

重要な違いは「結果」です。IT侵害はデータや金銭的損失をもたらしますが、OT侵害は人命に関わる可能性があります。これらのドメインがどのように異なり、現在どのように接続されているかを理解することは、現代のサイバー・フィジカル環境で働くすべての防御者にとって重要です。その理解の出発点が「コンバージェンス」、すなわちこの2つのドメインを不可分にしたプロセスです。

IT/OTコンバージェンスとは？

IT/OTコンバージェンスとは、エンタープライズITシステムと産業用OTシステムの歴史的な分離が崩壊することを指します。20世紀の大半、OT環境は企業ネットワークから物理的にエアギャップされ、独自プロトコルで運用され、ITセキュリティチームではなくプラントエンジニアによって管理されていました。この隔離は意図的であり、長い間有効でした。

このモデルを崩壊させた要因は3つあります：

• 産業用IoT（IIoT）：センサー、コントローラー、フィールドデバイスが企業ネットワークやクラウドプラットフォームに接続され、リモート監視や運用効率化を実現し、OT資産が初めてオンライン化されました。
• インダストリー4.0：現代の製造原則は、生産システムとビジネスインテリジェンスツール間のリアルタイムデータ統合を要求し、かつては厳格だった境界を越えた直接的なデータ経路を生み出しました。
• リモートアクセスの拡大：企業のVPNやクラウド接続が、従来は物理的な立ち入りが必要だったプラント環境にも拡大し、ベンダーサポート要件やパンデミック時の働き方の変化によって推進されました。

これらの要因はそれぞれ独立してOTの露出を増加させ、合わせて産業セキュリティが長年依存してきたエアギャップの前提を崩壊させました。

その結果、エアギャップはほぼ消滅しました。エンジニアリングワークステーションはエンタープライズドメインに接続され、SCADAシステムはクラウド分析プラットフォームにテレメトリを送信し、ベンダーのリモートアクセス経路がIT/OT境界を日常的に越えています。 CISAのIT/OTコンバージェンス分析は、この接続性の拡大によってOT環境が企業ネットワーク、ひいてはインターネットから直接到達可能になったことを記録しています。

セキュリティチームにとって、コンバージェンスは、SOCがModbus、DNP3など、SIEMが解析したことのない産業プロトコルで稼働する環境の可視性を担い、20年間セキュリティパッチなしで稼働しているデバイスを管理することを意味します。課題は技術的なものだけではありません。ガバナンスの共有、共同インシデント対応、異なる運用優先順位を持つ2つのドメインにまたがる統合的な可視化戦略が必要です。コンバージェンスのセキュリティ上の意味を理解するには、まず各ドメインが実際に何で構成されているかを知ることが役立ちます。

ITおよびOTセキュリティの主要コンポーネント

両ドメインは根本的に異なる資産を保護し、異なるプロトコルで動作し、異なる運用前提で構築されています。これらの資産が何であり、なぜそのように設計されたのかを理解することが、ITとOTのセキュリティの違いを恣意的ではなく明確にします。

ITセキュリティのコンポーネント

ITセキュリティスタックは、複数のレイヤーにわたってエンタープライズ情報システムを保護します：

• エンドポイント：サーバー、ワークステーション、ノートパソコン、モバイルデバイス
• エンタープライズネットワーク：企業LAN、WAN、業務運用を支えるネットワークインフラ
• クラウドプラットフォーム：IaaS、SaaS、アプリケーション層の制御
• アイデンティティとアクセス：認証、認可、特権管理

これらのレイヤーは、ビジネスデータとユーザー活動の大部分を担います。セキュリティ運用プラットフォームは、SIEM、 EDR/XDR、インシデント対応ワークフローを通じてこれらを統合します。

OTセキュリティのコンポーネント

OTセキュリティは、産業用制御システムとその支援インフラを保護します。 NIST OTセキュリティガイドは、主要コンポーネントを次のように分類しています：

• SCADAシステム：電力網、パイプライン、水道システムなど分散インフラ全体の監視と制御
• 分散制御システム：生産施設全体に分散配置された制御要素で、連続プロセス製造に一般的
• プログラマブルロジックコントローラー：組立ラインなどの個別プロセス向け専用コントローラー
• ヒューマンマシンインターフェース：産業プロセスの監視・制御用オペレーターインターフェース

安全計装システムは、プロセス変数が安全限界を超えた場合の保護的シャットダウン専用のレイヤーを追加します。Modbus、DNP3、PROFINET、EtherNet/IP、OPC UAなどの産業プロトコルは、セキュリティではなく信頼性とリアルタイム性能を重視して設計されています。

これらのコンポーネントは、Purdueエンタープライズリファレンスアーキテクチャ内で動作し、OT環境をフィールドデバイスから外部システムまで階層的に整理する業界標準モデルです。IT/OT境界のDMZであるレベル3.5に多くのセキュリティ制御が集中しています。 NISTネットワークセグメンテーションガイドは、レベル4デバイスから下位運用レベルへの直接通信を防ぐことを推奨しています。これらのアーキテクチャ上の違いは構造的なものだけでなく、各環境でセキュリティチームが現実的に脅威に対応できる方法を決定します。

ITとOTのセキュリティ運用の違い

同じ脅威、すなわち侵害された認証情報、不正デバイス、異常なネットワーク接続であっても、それがIT環境かOT環境かによって、求められる対応は大きく異なります。各ドメインの運用上の制約が、セキュリティチームのあらゆる意思決定を左右します。

ITセキュリティ運用

ITセキュリティは迅速な対応サイクルで運用されます。SOCはエンドポイント、ネットワークデバイス、クラウドワークロード、アイデンティティシステムからのテレメトリを集中プラットフォームに取り込みます。行動AIや相関エンジンがこのデータをリアルタイムで分析し、既知の攻撃パターンや行動ベースラインと照合して異常を検出します。脅威が発見された場合、 エンドポイントの隔離、プロセスの強制終了、パスワードリセット、緊急パッチの即時適用などが数秒で可能です。なぜならビジネスへの影響が限定的だからです。

OTセキュリティ運用

OTセキュリティは異なる制約下で運用されます。多くのPLCやRTUにはエージェントをインストールできません。計算リソースが不足しているためです。 NIST OTセキュリティガイドが警告するように、「OTでITセキュリティ手法を無差別に使用すると、可用性やタイミングの障害を引き起こす可能性があります」。企業LANで日常的なネットワークスキャンも、リソース制約のあるPLCをクラッシュさせたり、フェイルセーフシャットダウンに追い込むことがあります。

OT監視はパッシブなネットワーク分析、産業プロトコルのディープパケットインスペクション、ネットワークレベルでの行動異常検出に依存します。コントローラー、センサー、HMI間の通常通信パターンをベースライン化し、逸脱を検出します。対応モデルはプロセスの安定性を最優先します。稼働中の化学リアクターをノートパソコンのように隔離することはありません。対応判断には異なる手順と意思決定権が必要であり、サイバーリスクと同時にプロセス安全性も考慮しなければなりません。これらの運用上の違いは、両ドメインを分けるアーキテクチャ、ライフサイクル、優先順位モデルの根本的な違いの実践的な表れです。

ITとOTセキュリティの主な違い

7つの重要な側面がこれらのドメインを分けています：

このうち、優先順位モデルとライフサイクルギャップの2つが運用上最も大きな影響を持ちます。これらが、セキュリティチームがエンタープライズツールやプロセスを産業環境に適用しようとする際に直面する摩擦の根本原因です。

優先順位の逆転

OT環境では、 CISA IT/OTコンバージェンスレポートが強調するように、可用性と安全・信頼性の高いプロセス制御が最優先です。多要素認証による緊急アクセスの遅延、暗号化による処理遅延、再起動を必要とするセキュリティ制御は、OTの即時可用性要件と直接衝突します。

ライフサイクルギャップ

OTシステムは、エンタープライズIT資産よりもはるかに長期間稼働し、通常のITタイムラインでパッチ適用できないことが多いです。そのため、セグメンテーション、監視、補完的制御、エンジニアリングレビューによってリスクを管理し、定期的なパッチ適用だけでは対応できません。

これらの違いは、IT制御をそのままOT環境に適用するとリスクが生じる理由、そして各ドメインを規定するコンプライアンスフレームワークが根本的に異なる理由を説明します。

OTセキュリティのコンプライアンスと規制要件

OTセキュリティは単なるベストプラクティスではなく、多くの業界で法的要件です。産業サイバー攻撃の国家安全保障上の影響が明らかになったことで、規制環境は大きく拡大しました。

• NERC CIP（北米電力信頼性協議会重要インフラ保護）：北米全域の大規模電力システム運用者に義務付けられています。NERC CIP基準は、電子アクセス、物理的セキュリティ、インシデント報告、サプライチェーンリスク管理のための特定の制御を公益事業者に要求します。不遵守には1日あたり最大100万ドルの罰金が科されます。
• TSAパイプラインおよび鉄道セキュリティ指令：コロニアルパイプライン攻撃後、TSAはサイバーセキュリティ指令を発出し、現在第3版となっています。これらはCISAへのインシデント報告、サイバーセキュリティコーディネーターの指定、パイプラインおよび鉄道運用者向けのアクセス制御・ネットワークセグメンテーション要件を義務付けています。
• NIST SP 800-82：ICSおよびOTセキュリティに関する連邦政府の主要技術リファレンスです。すべての民間組織に法的義務はありませんが、CISAが自らのガイダンスで参照しており、連邦契約や規制対象の重要インフラ分野で事実上必須となっています。
• NIS2指令（EU）：ネットワークおよび情報セキュリティ2指令は、2024年10月にEU全域の運用者にサイバーセキュリティ要件を拡大し、エネルギー、水、製造、輸送分野を対象としています。組織はリスク管理措置の実施、重大インシデントの24時間以内の報告、サプライチェーンセキュリティの確保が求められます。

多くの規制対象組織は、 IEC 62443をOTの基礎標準とし、その制御をNERC CIP、NIST 800-82、NIS2要件にマッピングしています。コンプライアンスフレームワークは「何を達成すべきか」を示しますが、「なぜ既存のITツールではOTで達成できないのか」を理解することも同様に重要です。

従来のIT制御がOT環境で機能しない理由

標準的なITセキュリティツールはエンタープライズ環境向けに設計されています。OTでは、各ツールカテゴリが特定かつ文書化された方法で機能しません。

• エンドポイントエージェント：ITエンドポイントエージェントは、エンジニアリングシステムに干渉し、正当な制御動作を悪意のある活動と誤認し、現代のセキュリティソフトウェアを想定していないシステムに不安定さをもたらします。
• プロトコル非対応：ITセキュリティツールはHTTP、HTTPS、SMBなど標準プロトコルを検査しますが、Modbus、DNP3、PROFINETや独自の産業プロトコルは解析できません。これにより、不正なエンジニアリング変更、悪意あるOT特有コマンドの検出、正当な設定値変更と攻撃者による化学プロセス操作の区別ができません。
• 隔離リスク：エンタープライズのプレイブックでは、侵害されたシステムの即時隔離が求められます。OTでは、タービンやパイプラインバルブ、化学バッチを管理するコントローラーを隔離すると、物理的な連鎖障害を引き起こす可能性があります。対応判断にはプロセス安全性の考慮が不可欠です。
• パッチ非互換性： CISA OTパッチガイドは、OTのパッチ適用が従来のITパッチプロセス、スケジュール、手法に従わないことを説明しています。安全性と継続性を優先するため、エンジニアリング主導の分析と運用チームとの緊密な連携が必要です。

ITツールの限界を理解することが、両ドメインで機能するセキュリティモデル構築の基礎です。しかし、ツールの限界は全体の一部に過ぎません。コンバージド環境は、単一製品では解決できない構造的課題ももたらします。

可視性と攻撃対象領域の課題

2つの構造的問題により、コンバージドIT/OT環境は、どちらか一方のドメイン単独よりも一貫して防御が困難になります。すなわち、「何を守るべきか」を把握できないことと、防御すべき境界が拡大し続けることです。

可視性ギャップ

多くの組織は、特に運用リスクが最も高いコントローラーやフィールドデバイス層で、OT資産全体の完全な可視性を依然として欠いています。これにより、不正な変更、資産の逸脱、攻撃者の移動を物理的な影響が現れる前に発見することが困難になります。

拡大する攻撃対象領域

産業組織がプラントをクラウドサービス、リモートアクセスプラットフォーム、サプライヤー、エンタープライズシステムに接続するにつれ、攻撃対象領域は従来のプラント境界を大きく超えて拡大します。OTの隔離という前提は現代環境ではもはや成り立ちません。新たな接続ポイントはすべて、ITからOTへの潜在的な侵入経路となり、現在の規制・セキュリティ環境を形作ったインシデントは、攻撃者がまさにそれを< a href="https://www.sentinelone.com/cybersecurity-101/threat-intelligence/what-is-an-exploit/" target="_self">悪用することを学んだ証拠です。

実際のIT/OT攻撃事例

IT/OTコンバージェンスの理論的リスクは、エネルギー、製造、水インフラ分野で実際のインシデントとして現れています。以下の各事例は、一般的なIT攻撃ベクトルから始まり、運用障害や物理的危険に発展し、IT/OT境界がセキュリティ制御ではなく攻撃対象であることを示しています。

1. コロニアルパイプライン（2021年）：コロニアルパイプラインは、ランサムウェア攻撃により パイプライン運用を自主的に停止したと公表しました。この停止は米国東海岸の燃料供給に数日間影響し、同社は約440万ドルの身代金を支払ったと報告しています。
2. サウジ石油化学施設のTriton（2017年）：米国司法省は、Tritonマルウェアに関連して ロシア政府研究者を起訴しました。このマルウェアは石油化学プラントの安全計装システムを標的とし、緊急シャットダウンを引き起こすよう設計され、SISロジックへの干渉によって物理的危害のリスクを生じさせました。
3. オールズマー水道施設（2021年）：フロリダ州では、侵入者がオールズマー市の水処理プラントにアクセスし、 水酸化ナトリウム濃度を100ppmから11,100ppmに増加させようとしたと、地元当局と連邦機関が公式インシデント詳細で発表しています。

これらのインシデントは一貫したパターンを示しています。侵害は従来のITアクセスから始まりますが、影響は運用、物理的、または安全面に及びます。また、可視性の不足、不十分なセグメンテーション、OT特有のインシデント対応の欠如、ITとOTチームの分断という共通のギャップを突かれています。以下のプラクティスは、それぞれのギャップに直接対応します。

ITおよびOTセキュリティのベストプラクティス

ITとOT環境を一体的に保護するには、より優れたツールの導入だけでなく、OTの運用制約を尊重しつつ、エンタープライズセキュリティの監視・対応厳格性を適用する戦略が必要です。以下の6つのプラクティスがその戦略の基盤となります。

1. 統合ガバナンスフレームワークの採用

 IEC 62443をOTセキュリティの基礎標準とし、NIST CSF 2.0やISO 27001にクロスマッピングします。 CISA IT/OTコンバージェンスレポートを活用し、エンタープライズと産業環境の両方でガバナンスを整合させます。

2. IT/OT境界でのネットワークセグメンテーションの徹底

ISA/IEC 62443のゾーン＆コンジットモデルを実装し、ITから生産環境へのラテラルムーブメントを抑制します。 NISTネットワークセグメンテーションガイドに従い、レベル4デバイスが運用デバイスと直接通信できないようファイアウォールルールを適用します。Purdueレベル3.5 DMZでは、 ゼロトラスト原則を適用し、ITネットワークをOTに対して信頼されないゾーンとして扱います。

3. OT資産の完全な可視化の構築

見えないものは保護できません。すべてのPLC、SCADAサーバー、HMI、ゲートウェイ、IoTデバイスをインベントリ化します。リソース制約のあるOTデバイスにはエージェントレスディスカバリーを使用し、対応可能なエンジニアリングワークステーションやOTサーバーにはエージェントベースのカバレッジを補完します。資産コンテキストの強化はICSセキュリティを強化し、 ネットワークセグメンテーションの意思決定も改善します。

4. 産業プロトコルの行動異常分析の導入

シグネチャベースのツールを超えた対策が必要です。効果的なOT監視には、Modbus、DNP3、OPC UAなど産業プロトコルのディーププロトコル分析が不可欠で、不審なコマンドパターン、不正なデバイス間相互作用、プロトコル操作の試みを検出します。OT監視データはSOCワークフローに統合し、孤立運用しないようにします。

5. OT特有のインシデント対応プレイブックの作成

ITのインシデント対応プレイブックをそのままOTに適用すると被害をもたらします。生産安全性と継続性を最優先する別個のプレイブックを作成し、OTベンダーやサプライヤーとのテーブルトップ演習も NIST IR 8576の推奨に従い実施します。強力なインシデント対応計画はICSセキュリティの中核です。

6. ITとOTセキュリティチームの統合

ITとOTセキュリティを別々の島として運用するのはやめましょう。ITの脅威分析とOTのプロセス知識を組み合わせ、ワークフローやインシデント対応を共有する統合サイバーチームは、プレッシャー下で大幅に高いレジリエンスを発揮します。

これらのベストプラクティスを大規模に実行するには、コンバージド環境向けに設計されたプラットフォームが必要です。

重要なポイント

ITとOTセキュリティは、データの機密性と運用安全性という異なる優先順位に対応します。IT/OTコンバージェンスにより、かつて産業環境を守っていたエアギャップは消滅し、統合ガバナンスが求められる共通の攻撃対象領域が生まれました。標準的なIT制御は、産業プロトコルの解析、長寿命デバイスへの対応、物理プロセスの継続性確保ができないため、OT環境では機能しません。

コンバージド環境のセキュリティには、NERC CIPやNIS2など分野別の法令遵守、ISA/IEC 62443による統合ガバナンス、IT/OT境界での厳格なネットワークセグメンテーション、エージェントレスOT可視化、行動異常分析、OT特有のインシデント対応プレイブックが必要です。