OTセキュリティとは？定義、課題、ベストプラクティス

OTセキュリティとは？

2021年5月、DarkSideランサムウェア攻撃によりColonial Pipelineは5日間の操業停止を余儀なくされ、同社は440万ドルの身代金を支払いました（DOJ発表による）。侵入手法はゼロデイ脆弱性の悪用ではありませんでした。攻撃者はリモートアクセスと認証情報の弱点を悪用し、IT側の足掛かりから運用の混乱へとつなげました。

OTセキュリティは、重要インフラにおける物理プロセスを監視・制御するハードウェアおよびソフトウェアシステムを保護する分野です。NIST SP 800-82r3の定義によれば、これらのシステムには産業用制御システム（ICS）、監視制御およびデータ収集（SCADA）ネットワーク、分散制御システム（DCS）、プログラマブルロジックコントローラ（PLC）が含まれます。

OT資産は物理的な結果を直接制御します。侵害されたPLCはバルブを開けたり、タービンを過熱させたり、水処理プロセスを停止させたりすることが可能です。これらのシステムが失敗すると、データ損失を超えて機器の破壊、環境被害、人命への脅威にまで及ぶ可能性があります。

OTセキュリティとサイバーセキュリティの関係

ITセキュリティのバックグラウンドをお持ちであれば、CIAトライアド（機密性、完全性、可用性）をご存知でしょう。OTセキュリティでは、この優先順位が完全に逆転します。

 SANS Instituteによると、「OTサイバーセキュリティの主な目的は、産業運用の安全性、信頼性、可用性を維持すること」です。実際には、次のような意味を持ちます：

• 可用性が最優先です。発電所や水道事業者は、セキュリティパッチのためにオフラインになることが公共の安全を脅かすリスクとなります。
• 完全性が2番目です。制御コマンドは正確に実行されなければならず、機械が安全かつ予測可能に動作する必要があります。
• 機密性は3番目です。データ窃取よりも、物理プロセスの運用制御を失うことの方が重大です。

この優先順位の逆転は根本的な緊張を生みます。IT環境で頼りにしているセキュリティ制御（ディープパケットインスペクション、積極的なパッチサイクル、リアルタイムのアンチウイルススキャンなど）は、ミリ秒単位の精度が求められるOT運用に遅延をもたらす可能性があります。 NIST SP 800-82r3が記載するように、OTシステムは「物理世界に影響を与えることができるため、ICSに適用されるリスクの定義には現実世界での結果を考慮する必要がある」とされています。

この優先順位の変化は、ネットワークのセグメント化から脆弱性管理の方法に至るまで、OTセキュリティプログラムのあらゆるアーキテクチャ上の意思決定に影響します。以下のコンポーネントは、その原則を具体的な制御に落とし込みます。

OTセキュリティの主要コンポーネント

OTセキュリティプログラムの構築には、産業環境の運用制約に適応した5つの基礎的なコンポーネントが必要です。

1. パデュー・モデルに基づくネットワークセグメンテーション

Purdue Enterprise Reference Architecture（PERA）は、OTネットワークとITネットワークを分離するための階層的なフレームワークを提供します。 DOEの公開資料によれば、このモデルはレベル0（センサーやアクチュエータなどのフィールドデバイス）からレベル5（ベンダーサポートやクラウドアクセスを含む外部接続）までの6つのレベルを定義しています。現代環境における重要な追加要素はレベル3.5であり、ここはDMZ（非武装地帯）としてデータヒストリアンなどの共有サービスをホストし、企業ITとOT制御システム間の直接通信を防ぎます。 CISAのセグメンテーションガイダンスでは、各境界でファイアウォールによる複数のDMZ層が必要とされています。

2. 資産インベントリと可視性

見えないものは保護できません。 CISAのインベントリガイダンスは、スコープの定義、ガバナンス役割の割り当て、物理的な点検と論理的な調査の実施、重要度やセキュリティ設定などの属性を含む資産リストの作成という段階的なアプローチを示しています。

特に課題となるのは休止中のデバイスです。バックアップコントローラ、冗長化された安全システム、緊急用機器は通常運用時には非アクティブであり、パッシブなネットワーク監視では可視化できず、攻撃者に悪用される可能性があります。

3. セキュアなリモートアクセス

リモートベンダーアクセスは運用上不可欠である一方、継続的な脆弱性でもあります。 Defense-in-Depthガイドによれば、ベンダー契約ではリモート機器アクセスが頻繁に要求され、攻撃者はこれらの接続を侵入経路として利用します。このチャネルの保護には、DMZセグメント内のジャンプサーバ、多要素認証、一時的なロールベースアクセス、強力な暗号化が必要です。

4. リスクベースのパッチ管理

OTシステムのパッチ適用は、ITエンドポイントのパッチ適用とは根本的に異なります。 CISAのロードマップによれば、「ICSの所有者や運用者がパッチを適用しない理由には、運用プロセスの中断リスクやコスト、特定機器に対するベンダーのパッチ未提供などがある」とされています。

直接的なパッチ適用が困難な場合は、脆弱な資産周辺のネットワークセグメンテーション強化、アプリケーションホワイトリスティング、アクセス制限の強化、攻撃試行の監視強化などの代替制御を導入します。

5. OT特有の振る舞い監視

産業環境では、OTネットワークトラフィックが予測可能かつ反復的なパターンを持つため、振る舞い異常監視が有効です。 NIST IR 8219によれば、振る舞い監視は異常データを運用に影響を与える前に検知することでICSの信頼性を向上させます。効果的な監視には、Modbus、DNP3、EtherNet/IP、PROFINETなど産業用通信プロトコルに特化した機能が必要です。

これら5つのコンポーネントがOTセキュリティプログラムの構成要素となります。次のステップは、これらを生産を妨げずに運用モデルへと落とし込むことです。

OTセキュリティの仕組み

OTセキュリティは、産業環境の制約を考慮した多層防御によって機能します。

ステップ1：環境のマッピング

セキュリティプログラムは資産の発見から始まります。フィールドデバイスの物理点検、ネットワーク通信の論理調査、すべてのコントローラ、センサー、HMI、エンジニアリングワークステーションの文書化を行います。このインベントリはパデュー・モデルの各レベルに直接対応し、各層に何が存在するかを明確に把握できます。

ステップ2：セグメント化と分離

パデュー・モデルを設計図として、ネットワークゾーン間の境界を設定します。ファイアウォールのデフォルト拒否ルールセットで各境界のトラフィックを制御します。レベル3.5のDMZはヒストリアンやレポートサーバなどの共有サービスをホストし、エンタープライズネットワークと制御システム間の直接通信を防ぎます。

ステップ3：ベースラインの確立

PLCは同じ制御ロジックを繰り返し実行します。SCADAのポーリング間隔は固定スケジュールに従います。これらの通常通信パターンをベースラインとして取得し、逸脱（予期しないプロトコルコマンド、これまで通信していなかったデバイス間の新規接続、PLCロジックの変更など）を検知します。

ステップ4：監視と対応

継続的な監視は、境界およびゾーン内のネットワークトラフィックを監視します。異常（PLCへの不正な書き込みコマンドや、エンタープライズネットワークからレベル1コントローラへの予期しない接続など）が発生した場合、対応手順が発動します。OTの インシデント対応はIT対応と異なり、侵害されたシステムの隔離が重要プロセスの停止につながる場合があります。対応計画は運用継続性と物理的安全性を考慮する必要があります。

ステップ5：ライフサイクル管理による維持

OTセキュリティは一度きりの導入ではありません。資産インベントリを継続的に更新し、新たな脆弱性が出現するたびにリスクを再評価し、パッチが利用できない場合は代替制御をテストします。脆弱性評価をCISAの 既知悪用脆弱性カタログと照合し、優先順位を付けて対応します。

これらのステップを確実に実行できるようになれば、次に問われるのは攻撃者が最も侵入しやすい場所です。近年、その答えはIT/OTの境界部であることが増えています。

IT/OTコンバージェンスがリスクを高める理由

OTセキュリティにおける最大の構造的変化は、ITネットワークとOTネットワークの統合です。 DOEサプライチェーンレポートによれば、この統合は「引き続き進行中」であり、エネルギー分野のシステムがICTとOTを接続して効率化を図る中で新たなリスクが生じています。 NSTAC戦略レポートはこのパラドックスを指摘しています。接続性は効率向上の利点をもたらす一方、OTシステムを本来想定していなかった脅威にさらします。

統合は、セキュリティプログラムが対処すべき具体的な攻撃経路を生み出します：

• フラットなネットワークアーキテクチャ： CISAのレポートによれば、ネットワーク境界が弱い、または存在しない場合、攻撃者はSCADA環境へ横移動できます。
• レガシープロトコルの悪用：Modbus、DNP3、ICCPなど暗号化や認証のない産業用プロトコルを通じてデータが送信されます。
• リモートアクセスの脆弱性：VPNやベンダーサポートチャネルを通じて、適切な認証や監視を回避してアクセスされる場合があります。

統合環境を管理するセキュリティリーダーにとって、ネットワークのIT側が攻撃者がOT資産に到達する主な侵入経路です。 XDRの考え方をすでにお持ちであれば、その可視性重視の姿勢をエンタープライズエンドポイントと制御ネットワークをつなぐ経路にも適用してください。これらの経路を理解することは、OTセキュリティプログラムの構築が実際に困難である理由も明らかにします。

OTセキュリティの課題

OTセキュリティプログラムの構築には、確立されたフレームワークや政府ガイダンスがあっても独自の障壁があります。

1. 更新できないレガシーシステム： DOEレポートは、レガシーSCADAデバイスがサイバーセキュリティを考慮せずに設計されており、アップグレードを試みると他の接続システムとの依存関係が壊れる可能性があると強調しています。サポートされていないOS上で動作し、ハードコードされたパスワードや暗号化されていないプロトコルを使用し、広範なテストやシステム停止なしにはパッチ適用できないPLCを保護する必要がある場合もあります。
2. 運用停止の制約：OTシステムへのパッチ適用にはダウンタイムが必要です。24時間365日稼働の発電施設や水処理プラントでは、いかなる中断もリスクとなります。この制約により、直接的な修正よりも代替制御に頼ることが多くなります。
3. 多様な脅威アクター：高度な国家主体から低スキルのハクティビストまで、現在OTが標的となっています。 2025年12月の共同アドバイザリによれば、親ロシア系ハクティビストグループが基本的な手法でSCADAネットワークを標的とし、DDoS攻撃を同時に行ってSCADA侵入を支援した事例もあります。一方、 CISAアラートは、2015年にウクライナのPrykarpattyaoblenergoが攻撃を受け、約22万5千人が数時間にわたり停電した事例を説明しています。
4. 部門横断的な連携：OTセキュリティには、ITセキュリティ、制御エンジニア、プラントオペレーター、物理セキュリティ担当者の協力が不可欠です。単一の分野だけでは全体像を把握できません。 SANS 2025レポートによれば、現場技術者をテーブルトップ演習に含めている組織は、実際の準備態勢を示す可能性がほぼ2倍高いとされています。
5. OT環境全体の可視性ギャップ：休止中のデバイス、未記載の資産、暗号化されたベンダー接続が死角を生みます。SANS 2025レポートによれば、インシデントの49%は24時間以内に特定されますが、約5分の1は修復に1か月以上かかっています。

これらの制約は目標自体を変えるものではありませんが、対応策を再構築する必要があります。認知されたフレームワークは、体系的に対処するための構造を提供します。

OTセキュリティのフレームワークとコンプライアンス

複数のフレームワークが、組織がOTセキュリティプログラムを構築・評価する方法をガイドしています。最も広く採用されているのは NIST SP 800-82、 IEC 62443、 NERC CIPの3つです。それぞれ異なる役割を持ち、多くの成熟したプログラムは複数を組み合わせて活用しています。

NIST SP 800-82 第3版は、2023年9月に発行された米国連邦政府の産業用制御システム保護ガイドの主要文書です。OTセキュリティにリスクベースのアプローチを提供し、 NIST Cybersecurity Framework 2.0と整合し、OTサイバーセキュリティガバナンスを組織レベルに引き上げる新しいGovern機能も含まれています。NIST SP 800-82は記述的であり、何を考慮しリスクをどう評価するかを示しますが、具体的な実装判断は各組織に委ねられています。プログラム管理の骨組みと考えてください。

IEC 62443は、ISAとIECが共同で維持しており、NIST SP 800-82が示す内容の技術的詳細を補完します。NISTが「何を達成すべきか」を記述するのに対し、IEC 62443は「どのようにプログラムを構築するか」を規定します。一般概念、方針・手順、システムレベル・コンポーネントレベルのセキュリティを4つの標準シリーズで網羅する規範的な規格です。最大の特徴はSecurity Level（SL）モデルであり、防御すべき脅威アクターの能力に応じて制御をマッピングします：

• SL-1：偶発的または意図しない露出に対する保護。
• SL-2：基本的な手法と限られたリソースによる意図的な攻撃に対する保護。
• SL-3：中程度のリソースと自動化特有の知識を持つ高度な攻撃に対する保護。
• SL-4：深いOT専門知識を持つ国家レベルまたは十分な資金を持つ敵対者に対する保護。

IEC 62443のゾーンおよびコンジットモデルは、本記事で説明したパデュー・モデルのセグメンテーション実装に直接影響を与えます。

NERC CIP（重要インフラ保護）基準は全く異なるアプローチを取ります。北米の大規模電力システム運用者に義務付けられており、資産識別、アクセス管理、インシデント報告、復旧計画に関する具体的なセキュリティ制御を規定しています。NERC CIPの対象組織は、監査可能な要件と未遵守時の罰則が課されます。エネルギー分野で事業を行う場合、NERC CIPは必須です。

SANS 2025レポートによれば、規制対象組織が非対象組織よりインシデントが少ないわけではありませんが、インシデント発生時の財務損失や安全への影響は約50%少なくなっています。コンプライアンスは、資産可視化、ログ取得、変更検知など、効果的な脅威検知と対応の基盤となる能力への投資を促します。

実際には、これらのフレームワークは組み合わせて活用するのが最適です。NIST SP 800-82をプログラム管理の構造とし、IEC 62443を技術実装仕様として利用してください。規制義務のない組織でも、これらの標準を成熟度向上の道筋として採用することで恩恵を受けられます。この基盤があれば、フレームワーク要件を日々の運用実務へと落とし込むことができます。

OTセキュリティのベストプラクティス

NIST SP 800-82r3、IEC 62443標準、 CISAの公開ガイダンスに基づき、以下のプラクティスが成熟したOTセキュリティプログラムの基盤となります。

1. 多層防御のネットワークセグメンテーションを実施する。パデュー・モデルに従い、各境界でファイアウォールによるデフォルト拒否ルールセットを適用した階層的ゾーンを構築します。エンタープライズITとOT制御ネットワーク間の直接通信は決して許可しません。
2. 継続的に更新される資産インベントリを維持する。CISAの段階的アプローチに従い、スコープとガバナンスを定義し、物理・論理調査を実施し、重要度、ファームウェアバージョン、セキュリティ設定などの優先属性を記録します。休止中のデバイスも考慮します。
3. すべてのリモートアクセスに多要素認証を強制する。DMZセグメント内のジャンプサーバを使用し、ベンダーには一時的なロールベースアクセスを付与し、すべてのリモートセッションを記録します。外部関係者からのOTネットワークへの直接接続は排除します。
4. リスクベースのパッチ管理を採用する。計画的なメンテナンスウィンドウ中にパッチを適用します。パッチ適用が困難な場合は、アプリケーションホワイトリスティング、セグメンテーション強化、監視強化などの代替制御を導入します。脆弱性はCISAの既知悪用脆弱性カタログと照合します。
5. OT特有の振る舞い監視を導入する。通常の通信パターンをベースライン化し、逸脱を検知します。産業用プロトコル（Modbus、DNP3、OPC-UA）で不正コマンドを監視します。監視は広範なセキュリティ運用と統合し、統一的な可視性を確保します。
6. 部門横断的なインシデント対応計画を構築する。ITセキュリティ担当者だけでなく、制御エンジニアやプラントオペレーターも含めます。重要プロセスの停止につながるデバイス隔離を想定したエンジニア主導のテーブルトップ演習を実施します。

これらのベストプラクティスを日々の運用に拡張するには、攻撃者がOTに到達する際に最も利用するIT側の制御を強化することから始めます。

重要なポイント

OTセキュリティは、重要インフラの物理プロセスを制御する産業システムを保護し、データの機密性よりも可用性と安全性を優先します。IT/OTの統合により露出が拡大し、レガシーシステムがリスクにさらされています。効果的なプログラムには、パデュー・モデルに基づく多層防御のセグメンテーション、厳格な資産インベントリ、リスクベースのパッチ管理、OT特有の振る舞い監視が必要です。

NIST SP 800-82やIEC 62443などのフレームワークは、体系的な成熟度向上の道筋を提供し、自律的な保護によるIT境界の強化が、接続された運用環境へのリスクを直接的に低減します。