Purdueモデルとは？定義、レベル、ベストプラクティス

パデュー・モデルとは何か？

1台のHMIワークステーションが侵害されるだけで、攻撃者は物理プロセスを制御するPLCに対して直接的な指揮権限を持つことになります。そのワークステーションが3つの強制されたセキュリティ境界の背後にあるか、企業のメールサーバーとフラットなネットワークを共有しているかの違いが、実質的にパデュー・モデルです。

Purdue Enterprise Reference Architecture（PERA）、一般的にパデュー・モデルとして知られるこのモデルは、産業制御システム（ICS）ネットワークを現場レベルの物理プロセスから企業ITや外部ネットワークまで、明確な機能層に分割する階層型リファレンスフレームワークです。1991年にパデュー大学のLaboratory for Applied Industrial ControlでTheodore J. Williams氏とIndustry-Purdue University Consortium for Computer-Integrated Manufacturingによって開発され、当初はサイバーセキュリティではなく、コンピュータ統合生産におけるデータフローを対象としていました。

産業界がOTとITを接続するようになると、この階層構造はネットワーク境界を越えて何が通信すべきか、すべきでないかを定義する自然な基盤となりました。現在、このモデルはICS環境をレベル0から5（および重要なレベル3.5のIndustrial DMZ）に整理し、それぞれに構成要素、信頼境界、セキュリティ要件を定めています。

DOEの調査によれば、このモデルは「API 1164やNIST 800-82など、すべての産業制御システムフレームワークのベースラインアーキテクチャとして使用されている」と確認されています。

パデュー・モデルが何であるかを理解することは第一歩に過ぎません。現代の産業セキュリティにおけるその重要性は、この階層構造を具体的なサイバーセキュリティ対策にどのように落とし込むかにあります。

パデュー・モデルとサイバーセキュリティの関係

パデュー・モデルのセキュリティ上の核心的価値は、OTとIT環境の間に明確な信頼境界を確立し、 多層防御を実現するセキュリティゾーンを階層的に構築できる点にあります。ISA-95はその階層的アプローチを標準化された用語として正式に規定し、ISA/IEC 62443はこのモデルを基盤としてゾーンおよびコンジットのセキュリティアーキテクチャを構築しています。

CISA、NIST、国防総省は、2025年の最新ガイダンスでパデュー・モデルを積極的に推奨しています：

• CISAの2025年アドバイザリでは「多層的なセキュリティゾーンのガイド」として参照
• NISTはSP 800-82リビジョン3に組み込み
• 国防総省はゼロトラストOTガイダンスで参照

監査人や規制当局にアーキテクチャの決定を説明する際、パデュー・モデルは省庁横断的な連邦の承認を受けています。

製造業は2025年に全サイバー攻撃の27.7%を占め、5年連続で業界別最多となりました（ IBM X-Force 2026 Indexより）。これらの数字は、産業環境における構造化されたセグメンテーションが必須である理由を示しています。

このセグメンテーションが実際にどのように機能するかを理解するには、各レベルに何が存在し、それぞれがどのようなセキュリティ義務を持つかを知る必要があります。

パデュー・モデルの6つのレベル

パデュー・モデルは6つの機能レベル（0～5）と、IT/OT融合に対応するために追加されたIndustrial DMZを定義しています。各レベルには特定の構成要素があり、リスクプロファイルが定められ、個別のセキュリティコントロールが必要です。

レベル0：物理プロセス

実際に制御される産業プロセス。センサー、アクチュエータ、バルブ、モーター、生産設備がここに存在します。主な要件は物理的アクセス制御と信号の完全性保護です。

レベル1：基本制御

物理プロセスのリアルタイムプログラマブル制御。PLC、RTU、安全計装システム（SIS）、インテリジェント電子デバイスが制御ロジックを実行します。これらは侵害されると物理プロセスを直接操作できるため、非常に価値の高いターゲットです。通常、現代的な認証やパッチ適用をサポートしないリアルタイムOSで動作します。DOEはレベル0と1をまとめてSafety Zone（クリティカルリスクプロファイル）と分類しています。

レベル2：監視制御

人間と機械のインタラクションおよび監視。HMI、SCADAシステム、オペレータワークステーション、ローカル制御サーバがここに存在します。このレベルは 攻撃者のラテラルムーブメントの主な標的であり、WindowsベースのOSで動作しつつ、レベル1のPLCに対する直接的な指揮権限を持つため、多くの環境で監視・封じ込めのギャップとなっています。

レベル3：サイト運用

工場全体の運用管理。MES、データヒストリアン、バッチ制御システム、OTネットワーク監視プラットフォームがOTデータを集約します。このレベルのヒストリアンはIT/OTの橋渡しポイントとなり、歴史的に環境間のピボットポイントとして悪用されてきました。

レベル3.5：Industrial DMZ（iDMZ）

この層は元々1990年代のモデルには存在しませんでした。 DOEのガイダンスによれば、「このレベルは当初パデュー・モデルには設計されていなかったが、OTとITの継続的な融合により、通信の分離を確保するために不可欠な抽象層となっている」とされています。ITおよびOT境界の両方に設置された境界ファイアウォール、データダイオード、プロキシサーバ、ヒストリアンレプリカ、ジャンプサーバが含まれます。このゾーンを直接横断するITからOTへの接続はありません。

レベル4：エンタープライズネットワーク

ERP、CRM、Active Directory、業務アプリケーションなどの企業ITシステム。重要な要件は、レベル2以下への直接接続をゼロにすることです。

レベル5：外部ネットワーク

インターネットに面したシステム、クラウドサービス、ベンダーアクセス用ポータルなど。適切に設計されていれば、OTに到達するには複数のセキュリティ境界を通過する必要があります。

これらの構成要素を理解することは必要ですが、実際にそれらの間でトラフィックがどのように流れるかを知ることが、セキュリティ強制の本質です。

パデュー・モデルの仕組み

パデュー・モデルは階層的な通信制御によってセキュリティを強制します。各レベルは主に隣接するレベルと通信し、OTゾーン（レベル0～3）とITゾーン（レベル4・5）間のすべてのトラフィックは、レベル3.5のIndustrial DMZを通過しなければなりません。

NIST SP 800-82 Rev. 3は、レベル4のデバイスがレベル2、1、0のデバイスと直接通信することを防ぐファイアウォールルールを明示的に要求しています。また、組織はアウトバウンドルールもインバウンドルールと同等に厳格にすることを推奨しており、インバウンド攻撃とアウトバウンドのデータ流出の両方を防止します。

ISA/IEC 62443はこれをゾーンとコンジットで形式化しています。ゾーンは共通のセキュリティ要件を持つ資産の集合体であり、コンジットはゾーン間を接続する通信チャネルで、最も信頼性の高いゾーンと同等の重要度で保護されなければなりません。

実際のデータフローは以下の通りです：

• レベル0のセンサーがレベル1のコントローラにデータを送信
• レベル1のコントローラがレベル2のHMIやSCADAシステムに報告
• レベル2がレベル3のヒストリアンにデータを送信
• DMZ内のレベル3ヒストリアンレプリカがレベル4のIT利用者にデータを提供

ITシステムがOTを直接クエリすることはありません

この一方向のデータプッシュアーキテクチャは、ファイアウォール、アクセス制御、必要に応じてハードウェアデータダイオードによって強化され、エンタープライズネットワークが侵害されても物理プロセスを制御するシステムへの到達を防ぎます。

パデュー・モデル導入の主なメリット

適切に導入されたパデュー・モデルは、4つの運用領域で複合的なセキュリティ価値をもたらします。

• 強制されたセグメンテーションによる多層防御。各パデューレベルは攻撃者が突破しなければならないセキュリティ境界を形成します。エンタープライズネットワークがランサムウェアで完全に侵害されても、適切なセグメンテーションにより物理プロセスの運用停止を防ぐことができます。
• 規制および標準への整合性。パデュー・モデルはISA/IEC 62443準拠評価、NIST SP 800-82アーキテクチャ要件、CISAのアドバイザリの明示的な基盤です。導入することで、監査可能かつ規制当局に説明可能なアーキテクチャを実現します。
• ラテラルムーブメントの封じ込め。 2025年のVerizon DBIRによれば、 ランサムウェアは全データ侵害の44%を占めています。OT環境では、ランサムウェアはデータだけでなく運用の可用性や安全性を直接脅かします。パデューによるセグメンテーションは、ITからOTゾーンへのランサムウェアの拡散を制限します。
• レガシーシステムへの補完的コントロール。産業機器のライフサイクルは15～25年に及ぶため、OT環境には現代的なツールでパッチ適用や認証、監視ができないシステムが含まれている可能性が高いです。 CISAのガイダンスでは、これらのシステムの主な保護策としてネットワークセグメンテーションを推奨しています。

これらのメリットは複合的に作用しますが、実装が適切であってこそです。そして適切な実装は、パデュー・モデルの導入が紙面上よりも難しい構造的課題を理解することから始まります。

パデュー・モデル導入の課題

パデュー・モデルの原則は紙面上では明確です。しかし、実際の産業環境でこれを実装する現場ではそうではありません。アーキテクチャ図が示すものと、ネットワーク上で実際に発生するトラフィックとの間に常に摩擦を生む構造的課題がいくつか存在します。

1. IT/OT融合による非文書化アーキテクチャの発生。現代の運用要件はパデュー境界を越える新たな接続を継続的に生み出します。 2025年発表の査読付き研究では、データフロー要件、セキュリティゾーンの複雑性、プロトコルブリッジが主な融合課題と特定されています。
2. レガシーシステムが現代的なセキュリティコントロールに対応しない。レベル1のPLCやRTUは、ほとんどが独自プロトコルのリアルタイムOSで動作し、ITセキュリティツールでは検査できません。2005年製RTOSのPLCにエンドポイントエージェントをインストールすることはできません。ネットワークベースのセグメンテーションが唯一の実行可能なコントロールとなります。
3. 運用安全性がセキュリティ選択肢を制約する。 NIST SP 800-82 Rev. 3は、セグメンテーションが「運用パフォーマンスと安全性」を考慮することを明示的に要求しています。ICS環境では、ITで許容される認証失敗やネットワーク遅延は許容できません。いかなるセキュリティコントロールも生産や安全システムの単一障害点になってはなりません。
4. クラウドおよびIIoTのパデュー内での位置付けが不明確。DOEは、レベル0および1のデバイスはリアルタイム性要件のため仮想化やクラウドホスティングに適さないと明記しています。クラウドや仮想化はレベル3以上で適用されますが、多くの組織がクラウド分析やIIoTセンサーを明確な枠組みなしに統合しています。
5. リモートアクセスが基本原則に違反。従来のVPNソリューションは、OT下位レベルへの直接接続を作り出し、パデュー・モデルの制御階層を直接的に侵害します。 CISAは、最小限のセキュリティしか施されていないインターネット公開VNC接続を通じて、親ロシア系ハクティビストグループがOT制御デバイスを侵害した事例を記録しています。

これらの課題を知ることで、事前に備えることができます。しかし最も危険なのは、チーム自身が生み出す失敗です。

避けるべきパデュー・モデルの一般的なミス

課題が構造的であるのに対し、ミスは選択の結果です。設計、導入、運用管理の過程でチームが下す判断が、モデルが本来提供すべき保護を損ないます。これらはCISAのスレットハンターが実際の産業環境で最も頻繁に遭遇するエラーです。

VLANを導入してもインターVLANアクセス制御を強制しない。 CISAのプロアクティブなスレットハントでは、ITとSCADAのVLANが正しく分離されていても、対応するファイアウォールルールがなく、インターVLANルーティングが無制限となっている組織が発見されました。その結果、「ITネットワーク内の非特権ユーザーが自分の認証情報を使ってクリティカルなSCADA VLANにアクセスできる」状態となっていました。VLANはネットワーク管理ツールであり、セキュリティコントロールではありません。

この根本的なミスをさらに悪化させる以下のエラーも、実環境で同様によく見られます：

• 許可的なファイアウォールルールを残す。「一時的」なトラブルシューティング用ルール（any/any許可、RDP/VNCの開放）が恒久化し、監査や人事異動を経ても残り続きます。
• ITからフィールドコントローラへの直接アクセスを許可する。NIST SP 800-82 Rev. 3は、レベル4デバイスがレベル2、1、0と通信することを防ぐファイアウォールルールを要求しています。違反はすべての監督制御をバイパスする攻撃経路を生み出します。
• 導入を一度きりのプロジェクトとみなす。パデューによるセグメンテーションを導入し、その後見直さない組織は、運用要件の変化に伴い非文書化接続が蓄積されます。アーキテクチャの検証は、図面の確認だけでなく、実際のトラフィック分析やルール監査を含める必要があります。
• ベンダーのリモートアクセスをOTゾーンに広範に許可する。 CISAのスレットハントガイダンスでは、ベンダーリモートアクセスが頻繁に悪用される脆弱性であると指摘されています。VPNアクセスがDMZジャンプサーバではなくOTゾーンに直接終端することで、持続的な攻撃経路が生まれます。

これらのミスを回避するには、意図的かつ標準に準拠した運用が必要です。

パデュー・モデルのベストプラクティス

何が問題を引き起こすかを知ることが半分、残り半分は運用上のプレッシャー、監査、脅威状況下でも耐えうるアーキテクチャを構築・維持することです。以下のプラクティスは、ICS環境におけるCISA、NIST、DOEの最新ガイダンスを反映しています。

2台のファイアウォールによるIndustrial DMZの実装。 CISAのガイダンスは明確に、IT-DMZ境界とOT-DMZ境界の両方にファイアウォールを設置し、2つの独立した強制ポイントとすることを求めています。すべての共有サービス（ヒストリアン、ジャンプサーバ、リモートアクセスエンドポイント）はDMZ内にホストし、DMZホストからOTゾーンへの接続開始は禁止です。

ICS対応のセキュリティコントロールを導入。標準的なITファイアウォールでは不十分です。CISAは、産業プロトコルをアプリケーション層で検査できるSCADA対応ファイアウォール、許可されたプロトコルのアプリケーション許可リスト、産業通信のディープパケットインスペクションを要求しています。

さらに、日々の運用でアーキテクチャを補強する4つのコントロールがあります：

• 双方向通信制御の強制。NIST SP 800-82 Rev. 3は、アウトバウンドルールもインバウンドルールと同等に厳格にすることを推奨しており、侵害されたOTシステムからのインバウンド攻撃とアウトバウンドデータ流出の両方を防止します。
• 高セキュリティなデータフローにはデータダイオードを使用。ヒストリアンレプリケーションのためのハードウェア強制型一方向データ転送は、逆方向通信を物理的に防止し、ヒストリアンチャネル経由のOTへのコマンド＆コントロールリスクを排除します。
• アーキテクチャを実際のトラフィックで検証。ファイアウォールルールセットとネットワーク図を比較します。CISAのスレットハントでは、これらが矛盾しているケースが繰り返し発見されています。攻撃者シナリオをシミュレートし、非特権ITアカウントからクリティカルなSCADA VLANへの到達を試みます。
• すべてのリモートアクセスをDMZで終端。すべてのベンダー、従業員、契約者のリモートセッションは、レベル3.5のジャンプサーバでセッションログを取りつつ終端し、OTゾーンに直接到達させてはなりません。

上位レベルではゼロトラストを拡張。 CISAの2025年ガイダンスおよび国防総省のOT向けゼロトラストは、 ゼロトラストをパデューの補完と位置付けています。アイデンティティ検証はレベル3.5以上で適用し、レベル0～2はネットワークベースのセグメンテーションが主なコントロールとなります。

これらのプラクティスは、モデルが設計された通りに機能させるものです。しかしパデュー・モデル自体も進化しており、ITとOTがもはや明確に分離されていない環境で運用するチームにとって、その進化を理解することが不可欠です。

現代の進化：IT/OT融合とパデュー2.0

パデュー・モデルは6層アーキテクチャから、レベル3.5を必須セキュリティコントロールとする7層モデルへと進化しました。セキュリティアーキテクトはこれを「パデュー2.0」と呼び、置き換えではなく適応を意味します。階層的セグメンテーションの原則とレベル3.5のiDMZの組み合わせは、物理的な産業プロセスを保護するための最も実証されたアプローチです。

これらの融合環境を管理するセキュリティチームにとって、IT/OT境界を越える脅威の検出や、エンドポイント・アイデンティティ・ネットワークトラフィックを横断的に相関させるための環境横断的な可視性が不可欠となります。

重要なポイント

パデュー・モデルは、ICSネットワークセグメンテーションのための連邦政府公認リファレンスアーキテクチャとして位置付けられ、産業環境を階層的なレベルと強制された信頼境界で整理します。レベル3.5のIndustrial DMZは、接続されたOT環境において現在必須となっています。

実装の成否は設計ではなく強制にかかっています：ファイアウォールルールを実際のトラフィックで検証し、すべてのリモートアクセスをDMZで終端し、ICS対応のセキュリティコントロールを導入してください。 44%の侵害でランサムウェアが存在し、製造業が5年連続で最も標的とされている現状では、パデューに基づくセグメンテーションは選択肢ではなく必須です。