ITおよびOTセキュリティとは何か
ITおよびOTセキュリティは、攻撃者が現在単一の攻撃対象領域として悪用している2つの異なるドメインを保護します。この問題の規模は文書化されています。FBIの 2024年インターネット犯罪報告書では、重要インフラ組織から4,800件以上のサイバー攻撃被害の申告があり、これらの分野で最も蔓延している脅威であるランサムウェアは前年比9%増加しています。ITおよびOTセキュリティは、業務システムと産業プロセスを分離し、ITの侵害が物理的な障害に発展する前に阻止することでリスクを低減します。
ITセキュリティは、業務情報の処理、保存、伝送に使用するシステムを保護します。サーバー、ノートパソコン、クラウドプラットフォーム、エンタープライズアプリケーションなどが該当します。優先順位モデルは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)のCIAトライアドに従います。サーバーに緊急パッチが必要な場合は、オフラインにして更新を適用し、再稼働させます。
OTセキュリティは、物理世界と直接やり取りするシステムを保護します。SCADAシステムによる電力網の監視、化学プロセスを制御するPLC、水処理プラントを操作するHMIなどがOT資産です。 NIST OTセキュリティガイドは、OTを「物理環境と相互作用する幅広いプログラム可能なシステムおよびデバイス」と定義しています。優先順位モデルはAIC(可用性、完全性、機密性)に逆転します。稼働中のリアクターを火曜日のパッチサイクルのために停止することはできません。
重要な違いは「結果」です。IT侵害はデータや金銭的損失をもたらしますが、OT侵害は人命に関わる可能性があります。これらのドメインがどのように異なり、現在どのように接続されているかを理解することは、現代のサイバー・フィジカル環境で働くすべての防御者にとって重要です。その理解の出発点が「コンバージェンス」、すなわち両ドメインを不可分にしたプロセスです。
IT/OTコンバージェンスとは何か
IT/OTコンバージェンスとは、エンタープライズITシステムと産業用OTシステムの歴史的な分離が崩壊することを指します。20世紀の大半、OT環境は企業ネットワークから物理的に分離され、独自プロトコルで運用され、ITセキュリティチームではなくプラントエンジニアによって管理されていました。この隔離は意図的であり、長期間にわたり有効でした。
このモデルを崩壊させた要因は3つあります。
- 産業用IoT(IIoT): センサー、コントローラー、フィールドデバイスがエンタープライズネットワークやクラウドプラットフォームに接続され、リモート監視や運用効率化を実現し、OT資産が初めてオンライン化されました。
- インダストリー4.0: 現代の製造原則は、生産システムとビジネスインテリジェンスツール間のリアルタイムデータ統合を要求し、従来の境界を越えた直接的なデータパスを生み出しました。
- リモートアクセスの拡大: 企業のVPNやクラウド接続が、従来は物理的な立ち入りが必要だったプラント環境にも拡大し、ベンダーサポートやパンデミック時の働き方の変化によって推進されました。
これらの要因はそれぞれ独立してOTの露出を増加させ、合わせて産業セキュリティが長年依存してきた「エアギャップ」の前提を崩壊させました。
その結果、エアギャップはほぼ消滅しました。エンジニアリングワークステーションはエンタープライズドメインに接続し、SCADAシステムはクラウド分析プラットフォームにテレメトリを送信し、ベンダーのリモートアクセス経路が日常的にIT/OT境界を越えています。 CISAのIT/OTコンバージェンス分析は、この接続性の拡大がOT環境を企業ネットワーク、ひいてはインターネットから直接到達可能にしたことを記録しています。
セキュリティチームにとって、コンバージェンスはSOCがModbus、DNP3など、SIEMが解析したことのない産業プロトコルで稼働する環境の可視性を担い、20年間セキュリティパッチが適用されていないデバイスを管理することを意味します。課題は技術的なものだけではありません。ガバナンスの共有、インシデント対応の共同実施、異なる運用優先度を持つ2つのドメインにまたがる統合的な可視化戦略が必要です。コンバージェンスのセキュリティ上の意味を理解するには、まず各ドメインが実際に何で構成されているかを知ることが役立ちます。
ITおよびOTセキュリティの主要コンポーネント
両ドメインは根本的に異なる資産を保護し、異なるプロトコルで動作し、異なる運用前提で構築されています。これらの資産が何であり、なぜそのように設計されたのかを理解することが、ITとOTのセキュリティの違いを恣意的ではなく明確にします。
ITセキュリティのコンポーネント
ITセキュリティスタックは、複数のレイヤーにわたりエンタープライズ情報システムを保護します。
- エンドポイント: サーバー、ワークステーション、ノートパソコン、モバイルデバイス
- エンタープライズネットワーク: 企業LAN、WAN、業務運用を支えるネットワークインフラ
- クラウドプラットフォーム: IaaS、SaaS、アプリケーション層の制御
- アイデンティティとアクセス: 認証、認可、特権管理
これらのレイヤーは、業務データとユーザー活動の大部分を担います。セキュリティ運用プラットフォームは、SIEM、 EDR/XDR、インシデント対応ワークフローを通じてこれらを統合します。
OTセキュリリティのコンポーネント
OTセキュリティは、産業用制御システムとその支援インフラを保護します。 NIST OTセキュリティガイドは、主要コンポーネントを分類しています。
- SCADAシステム: 電力網、パイプライン、水道システムなど分散インフラ全体の監視・制御
- 分散制御システム: 生産施設全体に分散配置された制御要素(連続プロセス製造で一般的)
- プログラマブルロジックコントローラー: 組立ラインなど個別プロセス向けの専用コントローラー
- ヒューマンマシンインターフェース: 産業プロセスの監視・制御用オペレーターインターフェース
安全計装システムは、プロセス変数が安全限界を超えた場合の保護的シャットダウン専用のレイヤーを追加します。Modbus、DNP3、PROFINET、EtherNet/IP、OPC UAなどの産業プロトコルは、セキュリティではなく信頼性とリアルタイム性能を重視して設計されています。
これらのコンポーネントは、Purdue Enterprise Reference Architecture内で運用されており、OT環境をフィールドデバイスから外部システムまで階層的に整理する業界標準モデルです。IT/OT境界のDMZであるレベル3.5に多くのセキュリティ制御が集中しています。 NISTネットワーク分割ガイドは、レベル4デバイスから下位運用レベルへの直接通信を防ぐことを推奨しています。これらのアーキテクチャ上の違いは構造的なものだけでなく、各環境でセキュリティチームが現実的に脅威に対応できる方法を決定します。
ITとOTのセキュリティ運用の違い
同じ脅威、すなわち認証情報の侵害、不正デバイス、異常なネットワーク接続であっても、それがIT環境かOT環境かによって対応は大きく異なります。各ドメインの運用上の制約が、セキュリティチームのあらゆる意思決定を左右します。
ITセキュリティ運用
ITセキュリティは迅速な対応サイクルで運用されます。SOCはエンドポイント、ネットワークデバイス、クラウドワークロード、アイデンティティシステムからのテレメトリを集中プラットフォームに取り込みます。行動AIや相関エンジンがこのデータをリアルタイムで分析し、既知の攻撃パターンや行動ベースラインと照合して異常を検出します。脅威が発見された場合、 エンドポイントの隔離、プロセスの強制終了、パスワードリセット、緊急パッチの即時適用などが数秒で可能です。なぜなら業務への影響が限定的だからです。
OTセキュリティ運用
OTセキュリティは異なる制約下で運用されます。多くのPLCやRTUにはエージェントをインストールできません。計算リソースが不足しているためです。 NIST OTセキュリティガイドが警告するように、「OTでITセキュリティ手法を無差別に適用すると可用性やタイミングの障害を引き起こす」ため、アクティブな脆弱性スキャンも実施できません。企業LANで日常的なネットワークスキャンが、リソース制約のあるPLCをクラッシュさせたり、フェイルセーフシャットダウンを引き起こす可能性があります。
OTの監視はパッシブなネットワーク分析、産業プロトコルのディープパケットインスペクション、ネットワークレベルでの行動異常検出に依存します。コントローラー、センサー、HMI間の通常通信パターンをベースライン化し、逸脱を検知します。対応モデルはプロセスの安定性を最優先します。稼働中の化学リアクターをノートパソコンのように隔離することはありません。対応判断には異なる手順と意思決定権が必要であり、サイバーリスクと同時にプロセス安全性も考慮しなければなりません。これらの運用上の違いは、両ドメインを分けるアーキテクチャ、ライフサイクル、優先順位モデルの根本的な違いの実践的な表れです。
ITとOTセキュリティの主な違い
7つの重要な側面がこれらのドメインを分けています。
| 側面 | ITセキュリティ | OTセキュリティ |
| 優先順位モデル | CIA(機密性優先) | AIC(可用性優先) |
| システムライフサイクル | 短い更新サイクル | 長寿命システム、未パッチが多い |
| パッチ適用 | 継続的、しばしば自動化 | 計画的メンテナンスウィンドウのみ |
| プロトコル | 標準(HTTP、SMB、TLS) | 産業用(Modbus、DNP3、PROFINET) |
| エージェント対応 | エンドポイントエージェント全面展開 | 大半のデバイスはエージェントレス監視 |
| インシデント対応 | 積極的な隔離と封じ込め | プロセス安定性・安全性優先 |
| 障害の結果 | データ損失、業務中断 | 物理的被害、環境損害、人命の喪失 |
このうち優先順位モデルとライフサイクルギャップの2つが運用上最も大きな影響を持ちます。これらが、セキュリティチームがエンタープライズツールやプロセスを産業環境に適用しようとする際に直面する摩擦の根本原因です。
優先順位の逆転
OT環境では、 CISA IT/OTコンバージェンスレポートが可用性と安全・信頼性の高いプロセス制御を強調しています。多要素認証による緊急アクセスの遅延、暗号化による処理遅延、再起動を必要とするセキュリティ制御は、OTの即時可用性要件と直接衝突します。
ライフサイクルギャップ
OTシステムは通常、エンタープライズIT資産よりもはるかに長期間稼働し、通常のITタイムラインでパッチ適用できないことが多いです。そのため、セグメンテーション、監視、代替制御、エンジニアリングレビューによってリスクを管理します。
これらの違いにより、IT制御をそのままOT環境に適用するとリスクが生じ、各ドメインを規制するコンプライアンスフレームワークも根本的に異なる理由となっています。
OTセキュリティのコンプライアンスと規制要件
OTセキュリティは単なるベストプラクティスではなく、多くの業界で法的要件です。産業サイバー攻撃の国家安全保障上の影響が明らかになったことで、規制環境は大きく拡大しました。
- NERC CIP(北米電力信頼性協議会重要インフラ保護): 北米全域の大規模電力システム運用者に義務付けられています。NERC CIP基準は、電子アクセス、物理的セキュリティ、インシデント報告、サプライチェーンリスク管理のための特定の制御を公益事業者に要求します。不遵守には1日あたり最大100万ドルの罰則があります。
- TSAパイプライン・鉄道セキュリティ指令: Colonial Pipeline攻撃後、TSAはサイバーセキュリティ指令を発出し、現在第3版となっています。これらはCISAへのインシデント報告、サイバーセキュリティコーディネーターの指定、パイプライン・鉄道運用者向けのアクセス制御・ネットワーク分割要件を義務付けています。
- NIST SP 800-82: ICSおよびOTセキュリティに関する連邦政府の主要技術リファレンスです。すべての民間組織に法的義務はありませんが、CISAのガイダンスで参照されており、連邦契約や規制対象インフラ分野で事実上必須となっています。
- NIS2指令(EU): ネットワーク・情報セキュリティ2指令は、2024年10月にEU全域の運用者にサイバーセキュリティ要件を拡大し、エネルギー、水、製造、輸送分野を対象としています。組織はリスク管理措置の実施、重大インシデントの24時間以内報告、サプライチェーンセキュリティの確保が求められます。
多くの規制対象組織は、 IEC 62443をOTの基礎標準とし、その制御をNERC CIP、NIST 800-82、NIS2要件にマッピングしています。コンプライアンスフレームワークは「何を達成すべきか」を示しますが、「なぜ既存のITツールではOTで達成できないのか」を理解することも同様に重要です。
従来のIT制御がOT環境で機能しない理由
標準的なITセキュリティツールはエンタープライズ環境向けに設計されています。OTでは、各ツールカテゴリが特有かつ文書化された形で機能しません。
- エンドポイントエージェント: ITエンドポイントエージェントはエンジニアリングシステムに干渉し、正当な制御動作を悪意のある活動と誤認し、現代のセキュリティソフトウェアを想定していないシステムに不安定さをもたらします。
- プロトコル非対応: ITセキュリティツールはHTTP、HTTPS、SMBなど標準プロトコルを検査しますが、Modbus、DNP3、PROFINETや独自の産業プロトコルは解析できません。これにより、不正なエンジニアリング変更、悪意あるOT特有コマンド、正当な設定値変更と攻撃者による化学プロセス操作の区別ができません。
- 隔離リスク: エンタープライズのプレイブックでは、侵害システムの即時隔離が推奨されますが、OTではタービン、パイプラインバルブ、化学バッチを管理するコントローラーの隔離は物理的な連鎖障害を引き起こす可能性があります。対応判断にはプロセス安全性の考慮が必要です。
- パッチ非互換性: CISA OTパッチガイドは、OTのパッチ適用が従来のITパッチプロセス、スケジュール、手法に従わないことを説明しています。安全性と継続性を優先するため、エンジニアリング主導の分析と運用チームとの緊密な連携が必要です。
ITツールの限界を理解することが、両ドメインで機能するセキュリティモデル構築の基礎です。しかし、ツールの限界は全体の一部に過ぎません。コンバージド環境は、単一製品では解決できない構造的課題ももたらします。
可視性と攻撃対象領域の課題
2つの構造的問題により、コンバージドIT/OT環境は単独のドメインよりも一貫して防御が困難です。保護対象が見えないことが多く、防御すべき境界が拡大し続けているためです。
可視性ギャップ
多くの組織は、特に運用リスクが最も高いコントローラーやフィールドデバイス層でOT資産全体の可視性を十分に確保できていません。これにより、不正な変更、資産の逸脱、攻撃者の移動を物理的な影響が出る前に発見することが困難になります。
拡大する攻撃対象領域
産業組織がプラントをクラウドサービス、リモートアクセスプラットフォーム、サプライヤー、エンタープライズシステムに接続することで、攻撃対象領域は従来のプラント境界を大きく超えて拡大しています。OTの隔離という前提は現代環境ではもはや成り立ちません。新たな接続ポイントはすべてITからOTへの侵入経路となり得ます。現在の規制・セキュリティ環境を形作ったインシデントは、攻撃者がまさにこの点を悪用してきたことを証明しています。
実際のIT/OT攻撃事例
IT/OTコンバージェンスの理論的リスクは、エネルギー、製造、水インフラで実際に発生したインシデントで現実となっています。以下の各事例は、一般的なIT攻撃ベクトルから始まり、運用障害や物理的危険に発展し、IT/OT境界がセキュリティ制御ではなく攻撃対象であることを示しています。
- Colonial Pipeline(2021年): Colonial Pipelineは、ランサムウェア攻撃により パイプライン運用を自主的に停止したと公表しました。この停止は米国東海岸の燃料供給に数日間影響し、同社は約440万ドルの身代金を支払ったと報告しています。
- サウジ石油化学施設のTriton(2017年): 米国司法省は、Tritonマルウェアに関連し ロシア政府研究者を起訴しました。このマルウェアは石油化学プラントの安全計装システムを標的とし、緊急シャットダウンを引き起こす設計で、SISロジックへの干渉により物理的危害のリスクを生じさせました。
- Oldsmar水道施設(2021年): フロリダ州で侵入者がOldsmar市の水処理プラントにアクセスし、 水酸化ナトリウム濃度を100ppmから11,100ppmに増加させようとしたと、地元当局および連邦機関が公式インシデント詳細で発表しています。
これらのインシデントは一貫したパターンを示しています。侵害は従来型のITアクセスから始まりますが、影響は運用、物理的、または安全面に及びます。また、可視性不足、不十分なセグメンテーション、OT特有のインシデント対応の欠如、ITとOTチームの分断という共通のギャップを突かれています。以下のプラクティスはこれらのギャップに直接対応します。
ITおよびOTセキュリティのベストプラクティス
ITとOT環境を一体的に保護するには、より優れたツールの導入だけでなく、OTの運用制約を尊重しつつエンタープライズセキュリティの監視・対応厳格性を適用する戦略が必要です。以下の6つのプラクティスがその戦略の基盤となります。
1. 統合ガバナンスフレームワークの採用
IEC 62443をOTセキュリティの基礎標準とし、NIST CSF 2.0やISO 27001にクロスマッピングします。 CISA IT/OTコンバージェンスレポートを活用し、エンタープライズと産業環境のガバナンスを整合させます。
2. IT/OT境界でのネットワーク分割の徹底
ISA/IEC 62443のゾーン・コンジットモデルを実装し、ITから生産環境へのラテラルムーブメントを抑制します。 NISTネットワーク分割ガイドに従い、レベル4デバイスから運用デバイスへの直接通信を防ぐファイアウォールルールを実装します。Purdueレベル3.5 DMZで ゼロトラスト原則を適用し、ITネットワークをOTに対して信頼しないゾーンとして扱います。
3. OT資産の完全な可視化の構築
見えないものは保護できません。すべてのPLC、SCADAサーバー、HMI、ゲートウェイ、IoTデバイスをインベントリ化します。リソース制約のあるOTデバイスにはエージェントレスディスカバリーを使用し、対応可能なエンジニアリングワークステーションやOTサーバーにはエージェントベースのカバレッジを補完します。資産コンテキストの強化はICSセキュリティと ネットワーク分割判断の質を高めます。
4. 産業プロトコルの行動異常分析の導入
シグネチャベースのツールを超えた対策が必要です。効果的なOT監視には、Modbus、DNP3、OPC UAなど産業プロトコルのディーププロトコル分析が不可欠で、異常なコマンドパターン、不正なデバイス間相互作用、プロトコル操作の試みを検出します。OT監視データはSOCワークフローに統合し、孤立運用しないようにします。
5. OT特有のインシデント対応プレイブックの作成
ITインシデント対応プレイブックをそのままOTに適用すると被害を拡大します。生産安全性と継続性を最優先する独自プレイブックを構築し、OTベンダーやサプライヤーとのテーブルトップ演習も NIST IR 8576の推奨通り実施します。強固なインシデント対応計画はICSセキュリティの中核です。
6. ITとOTセキュリティチームの統合
ITとOTセキュリティを別々の島として運用するのをやめましょう。ITの脅威分析とOTのプロセス知識を組み合わせ、ワークフローやインシデント対応を共有する統合サイバーチームは、プレッシャー下で大幅にレジリエンスが向上します。
これらのベストプラクティスを大規模に実行するには、コンバージド環境向けに設計されたプラットフォームが必要です。
重要なポイント
ITとOTセキュリティは、データの機密性と運用安全性という異なる優先事項に対応します。IT/OTコンバージェンスにより、かつて産業環境を守っていたエアギャップは消滅し、統合ガバナンスが求められる共通の攻撃対象領域が生まれました。標準的なIT制御は、産業プロトコルの解析、長寿命デバイスへの対応、物理プロセスの継続要件に適合できないため、OT環境では機能しません。
コンバージド環境のセキュリティには、NERC CIPやNIS2など分野別の法令遵守、ISA/IEC 62443による統合ガバナンス、IT/OT境界での厳格なネットワーク分割、エージェントレスOT可視化、行動異常分析、OT特有のインシデント対応プレイブックが必要です。
よくある質問
ITセキュリティは、情報システム、すなわちサーバー、ワークステーション、クラウドプラットフォーム、ビジネスデータが存在するエンタープライズネットワークを保護します。OTセキュリティは、物理プロセスと連携する産業用制御システム、たとえばSCADAシステム、PLC、HMIを、電力網、水処理施設、製造工場などの環境で保護します。
この2つの領域は異なる優先モデルに従います。ITは機密性を最優先し、OTは可用性を重視します。これらの環境が統合される中、両方を同時に保護する必要性が高まっています。
ほとんどのOTデバイス(PLCやRTUなど)は、CPU、メモリ、ストレージが限られたリアルタイムオペレーティングシステム上で動作しています。これらのデバイスは、レイテンシや不安定性のリスクなしに最新のセキュリティエージェントをサポートできないことが多くあります。そのため、OTチームはパッシブモニタリング、ネットワークフィンガープリント、サポートシステムでの選択的なカバレッジに依存しています。
このアプローチにより、プロセスの安定性を維持しつつ、ICSセキュリティと全体的な可視性を向上させることができます。
Purdueモデルは、産業環境をフィールドデバイスからエンタープライズおよび外部システムまでの階層に整理します。その実用的な価値はセグメンテーションにあります。特にITとOTの間のレベル3.5 DMZで、信頼境界を定義するために使用されます。
この構造はネットワークセグメンテーションを支援し、ラテラルムーブメントのリスクを低減し、接続された環境におけるSCADAセキュリティを保護するための明確なフレームワークを提供します。
ISO 27001は情報セキュリティ管理のための包括的なフレームワークを提供しますが、工場フロアの安全性や制御システムの信頼性には重点を置いていません。ISA/IEC 62443は産業サイバーセキュリティ専用に設計されており、OT環境特有のシステムアーキテクチャ、コンポーネントセキュリティ、ライフサイクル管理をカバーしています。
両規格をクロスマッピングすることは可能ですが、62443はISO 27001が想定していないICSセキュリティ要件に対応しています。
最大のリスクは、接続性の拡大、コントローラーやフィールドデバイスへの可視性の制限、ITチームとOTチーム間の連携不足です。エンタープライズのツールでは軽微に見えるインシデントでも、OT環境では重大な運用上の影響を及ぼす可能性があります。
これらのリスクに対処するには、両チーム間での共通のコンテキスト、IT/OT境界での強力なネットワークセグメンテーション、およびOT特有のインシデント対応プレイブックが必要です。これにより、日常的な侵害が物理的な障害へと発展するのを防ぐことができます。
はい、ただし慎重に適用する必要があります。ゼロトラストは、認証と認可を制御トラフィックを妨げることなく強制できるリモートアクセス経路やIT/OT DMZなどの境界ポイントで最も効果的に機能します。
OTネットワーク内部では、通常、セグメンテーション、ポリシー制御、監視を通じてこのモデルを適用します。これにより、重要なプロセスに危険な遅延を追加することなく、SCADAセキュリティを向上させることができます。
