「OT (制御技術)向けのセキュアな接続に関する原則」の策定には、どの機関が関与していますか?

「OT (制御技術)向けのセキュアな接続に関する原則」の策定に関与した機関は、以下の通りです。英国国立サイバーセキュリティセンター(NCSC) オーストラリア信号局(ASD)傘下のオーストラリア･サイバーセキュリティ･センター(ACSC) カナダ･サイバーセキュリティ･センター(Cyber Centre) 米国サイバーセキュリティ･インフラ･セキュリティ庁(CISA) 米国連邦捜査局(FBI) ドイツ連邦情報セキュリティ庁(BSI) オランダ国立サイバーセキュリティセンター(NCSC-NL) ニュージーランド国立サイバーセキュリティセンター(NCSC-NZ)

これらは必須要件ですか?

いいえ。これらの原則はあくまで目標、または望ましい最終状態を示すものです。これらは、脅威環境が絶えず変化する中で、組織が安全なシステムを設計･管理していくための枠組みを提供するものです。

これらの原則は、NIST CSFやIEC 62443といった既存のフレームワークとどのような関係にあるのですか?

「OT (制御技術)向けのセキュアな接続に関する原則」は、こうした既存のフレームワークを補完するものです。これらは、OTにおけるセキュアな接続のあり方を、より高次の視点から解釈し提示したものです。

どの原則を優先的に取り組むべきでしょうか?

貴社にとって何が最適であるかは、最終的には貴社の環境、既存の技術、そしてビジネス目標によって決まります。しかし、多くの場合、最も重要な業務に対してどの程度の保護レベルを提供できるかという観点に基づき、論理的な順序で導入を進めることができます。具体的には、以下のような項目が挙げられます。基盤を構築し、ベンダーに依存しない資産インベントリの整備を最優先事項とする: いかなる原則を適用するにしても、まずはOT (制御技術)アーキテクチャについて、明確かつ確固たる全体像を把握していなければなりません。そのためには、ネットワーク上に何が存在するのかを正確に把握できるよう、包括的かつベンダーに依存しない資産インベントリの整備が不可欠です。次に、「原則1」に着手する: OTの接続を確保するにあたり、文書化の徹底と、リスクに基づいた正式なビジネスケースの策定こそが第一歩となります。信頼ゾーンと非信頼ゾーンを明確に区分し、「どの資産がどの資産と通信する必要があるのか」、そして「目標とするセキュリティレベルや、許容可能な運用・ビジネス上のリスクレベルはどの程度か」を具体的に定めます。続いて、「原則2」に注力する: インターネットに直接接続されている資産を特定し、その数を削減することは、攻撃対象領域(アタックサーフェス)を縮小するための絶好の機会となります。最後に、「原則5」を実践する: フィッシング攻撃に強い多要素認証(MFA)などのツールを活用して境界防御を強化することは、機密性の高い制御操作を保護する上で、極めて効果的な手段の1つです。

リソースが限られている場合、最初に取り組むべきステップは何でしょうか?

安全および運用への影響度に基づき、システムの優先順位付けを行なうべきです。まずは、重要な機能を維持している機器、または故障した場合に不安全な状況やサービス停止を引き起こすリスクが最も高い機器に焦点を絞ってください。

ブログ

OT (制御技術)におけるセキュアな接続に関する原則とは何でしょうか

OT向けのセキュアな接続に関する原則が、運用上の安全を維持しつつ、産業用システムをサイバー脅威から保護する上でどのように役立つかをご紹介します。

Experienced engineer inspecting operational server racks in computer network security data center. Supercomputers providing processing and memory resources for different workloads

かつて産業用制御システムは、インターネットに接続されていなかったことから、ハッカーによる攻撃に対して比較的安全であると考えられていました。しかし今日では、デジタル化の進展やITとOTの融合に伴い、その状況は一変しています。その結果、OTネットワークの相互接続性が飛躍的に高まり、ビジネスや顧客のニーズ、そして期待に応えるための基盤が構築されています。

こうした接続がリスクを生じさせる可能性があることから、英国国立サイバーセキュリティセンター(NCSC)は、連邦捜査局(FBI)やサイバーセキュリティ･インフラ･セキュリティ庁(CISA)を含む複数の国際的なサイバー関連機関と連携し、「OT (制御技術)向けのセキュアな接続に関する原則」(Secure Connectivity Principles for OT)」を公開しました。これらの原則は、運用上のリスクを抑制しつつ、システム間の接続を実現できるよう支援することを目的としています。

本ブログでは、「OT (制御技術)向けのセキュアな接続に関する原則」の重要性、その内容、そして実際の適用事例について解説します。

「OT (制御技術)向けのセキュアな接続に関する原則」が重要である理由

これらの原則を遵守することは、プラントが行なう接続が、運用上の安全や機能性に悪影響を及ぼさないという確信をもたらす助けとなります。これらのガイドラインは、戦略的なロードマップとしての役割を果たし、施設の信頼性を損なうことなく、イノベーションと安全のバランスを巧みに保つための指針となります。

ITとOTの融合

長年にわたり、IT (情報技術)とOT (制御技術)はそれぞれ異なる世界で存在してきましたが、今日、それらの世界は融合しつつあります。

メリット: ITとOTの融合により、リアルタイム分析や予知保全が可能となり、機器が故障する前に修復を行なうことができるようになります。
問題: 多くの工場システムは、最新のセキュリティ要件を想定して設計されていない、陳腐化した技術や旧式の技術に依存しています。
脆弱性の発生源: こうした旧式の機器を最新のネットワークに接続することは、本来その機器が対処できるようには設計されていなかったリスクを招き入れることにつながります。

OT環境における影響

OT環境においては、そのリスクが物理的な性質を帯びているため、事態の重大性がより高くなります。

安全および身体的危害: OT環境におけるセキュリティ侵害は、機器の誤作動を引き起こしたり、作業員に身体的な危害を及ぼしたりする可能性があります。
環境への影響: 不正侵入により安全機構が正常に機能しなくなり、その結果として化学物質の漏洩や環境破壊を招く恐れがあります。
サービス中断: 社会にとって不可欠なサービスを提供する事業者にとっては、システムの停止が地域社会や国家インフラの機能不全を招く事態となり得ます。

差し迫った脅威

産業用システムはもはや、ハッカーにとって「対象としてニッチすぎる」存在ではありません。今やこれらは、国家の支援を受けたアクターや、機会を捉えて攻撃を仕掛けるハクティビスト、さらには外部に露出したインフラを探索しているあらゆる攻撃者にとって、格好の標的となっています。もし貴社の制御システムが、インターネット上のスキャンツールによって検知可能な状態にあるならば、発見され、攻撃の対象となる恐れがあります。

Stryker社に対する「Handala」によるサイバー攻撃は、まさにその好例と言えます。この親イラン派のハクティビスト集団は、Microsoft Intuneを通じて接続されていた20万台以上のシステムおよびデバイスから、データを消去しました。この攻撃により、管理用コンソールに接続されていたサーバ、モバイルデバイス、その他のシステムに障害が発生し、業務に支障をきたす事態となりました。

「OT (制御技術)向けのセキュアな接続に関する原則」の定義

以下に、その原則の内訳と、それぞれの意味について説明します。

原則	意味
原則1: リスクと機会のバランスをとる	運用とビジネス上のユースケースに基づいて、既存のハードウェアやサプライチェーンのギャップを考慮した、リスクを考慮した接続に関する意思決定を開始しましょう。これには、信頼できるゾーンを作成し、ゾーン間での安全な通信を可能にすることが含まれます。
原則2: 接続の露出を制限する	すべてのトラフィックを送信専用にし、ジャストインタイムのアクセスを使用することで、潜在的な攻撃のタイミングを最小限に抑え、攻撃対象領域を縮小します。
原則3: ネットワーク接続を一元化･標準化する	個別のトンネルを、反復可能で集中管理されたカテゴリ別のアクセスパターンに置き換えることで、設定ミスによるリスクを軽減します。
原則4: 標準化されたセキュアなプロトコルを使用する	運用体制による支援が得られる場合は、単なる接続機能にとどまらず、認証･暗号化プロトコルの適用やデータ構造の検証を通じて、悪意あるペイロードを遮断する対策を講じてください。また、データが転送中および保存状態にある双方の局面において、セキュアに保ってください。
原則5: OT境界を強固にする	陳腐化していない境界デバイス、フィッシング耐性を持つ多要素認証、そしてハードウェアによって強制される一方向通信機能を組み合わせた「多層防御」の層を構築し、組織の境界領域を堅牢に保護してください。
原則6: 侵害時の影響を最小限に抑える	セグメント化されたゾーンやマイクロセグメンテーションを活用し、「ブラスト半径(被害の波及範囲)」を縮小することで、侵害を局所的に封じ込め、不正な水平移動の防止を支援します。
原則7: すべての接続のログ取得と監視を徹底する	停滞しがちな監視体制を、相関分析に基づくリアルタイム検知システムへと変革することで、セキュリティ･オペレーション･センター(SOC)による異常や「ブレークグラス(緊急時特権アクセス)」の検知能力を強化します。
原則8: 隔離計画を策定する	安全を損なうことなく、危機発生時に選択的に「接続を遮断」するための戦略を策定･検証することで、組織の事業継続性の確保を支援します。

「OT (制御技術)向けのセキュアな接続に関する原則」の実践例

以下の架空の事例は、製造プラントがいかにして高リスクな構成から、あるべき理想的な状態へと移行できるかを示しています。

シナリオA: ベンダーによるリモート保守

プラントにおいて、特殊な機械のトラブルシューティングを行なうために、外部ベンダーの支援が必要となる場合があります。しかし、従来の「常時接続(Always-on)」型VPNに依存すると、ベンダーに対して工場ネットワーク全体への直接的なアクセス経路を与えてしまうことになり、不必要なリスクの露出を招く恐れがあります。

原則2および原則5に従い、当該プラントでは、外部からの直接的なポート接続(インバウンド･ポートの露出)を排除しています。そのかわりに、独立したiDMZ内に設置されたセキュアなゲートウェイを介した、仲介型の接続方式を採用しています。これにより、複数のセキュリティ原則に基づいた、より厳格に管理されたシステム構成の構築が可能となります。

技術者がシステムにログインするに先立ち、プラント側では原則1を適用し、正式な業務上の必要性(ビジネスケース)を検証することで、当該接続が真に必要であるかどうかの確認を行ないます。また、アクセス管理については、原則2に基づき、「ジャストインタイム(必要な時に必要なだけ)」の接続方式によって運用されています。

セッションが開始されると、工場側は「原則5」を適用し、ベンダーによる作業対象を特定の機器のみに限定します。セッションの全過程を通じて、セキュリティチームは「原則7」に基づき、あらゆる操作を迅速に監視することで完全な可視性を確保し、不正な挙動を検知します。

この多層的なアプローチを採用した結果、セキュリティ対策が単一のパスワードのみに依存することはなくなりました。フィッシング攻撃に強い多要素認証(MFA)を必須とし、かつ予定されたメンテナンス期間中のみアクセスを許可する運用を徹底することで、たとえベンダーの認証情報が盗まれたとしても、工場内のシステムは確実に保護されます。

シナリオB: 旧式の製品ラインの保護支援

ある施設では、導入から15年が経過した旧式のプログラマブル･ロジック･コントローラ(PLC)が稼働しています。生産活動においては何の問題もなく機能していますが、すでにセキュリティアップデートの提供が終了しています。そのため、もしハッカーがネットワーク内に侵入した場合、極めて無防備な標的となってしまいます。

そこで同工場では、「原則6」に基づきマイクロセグメンテーションを導入することで、このリスクの封じ込めに着手しました。具体的には、ハードウェアファイアウォールを併用して当該PLCを独立したネットワークゾーンに配置し、施設内の他のシステムから物理的かつ論理的に完全に分離・隔離することを徹底しています。

プラントでは「原則5」を適用することで、「最小権限の原則」を徹底し、PLCがその機能遂行に不可欠な特定のオペレータステーションとのみ通信できるよう確実に制御しています。また、継続的な監視体制を維持するため、セキュリティチームは「原則7」に基づき、当該ゾーンに出入りするすべての通信トラフィックを記録・監視しています。これにより、不審な通信パターンを即座に検知することが可能となります。

こうしてPLCは適切にセグメント化され、その機能維持に必要な特定のオペレータステーション以外とは一切通信できない状態が確立されました。万が一、別の機器がマルウェアに感染したとしても、その感染拡大は当該セグメント内で封じ込められ、旧式の生産ラインへと横展開(ラテラルムーブメント)することは阻止されます。

「OT (制御技術)向けのセキュアな接続に関する原則」の実践

「OT (制御技術)向けのセキュアな接続に関する原則」は、戦略的なロードマップを提供します。しかし、複雑なOT環境全体でこれらの原則を実践に移すには、適切なツール、専門知識、そして継続的なサポートの最適な組み合わせが不可欠です。

そこで活躍するのが、SecureOT™ソリューションスイートです。OT環境向けに構築された当社の包括的なソリューションスイートは、以下の要素を通じて、組織がこれらの原則に準拠できるよう支援します。

産業用OTサイバーセキュリティ – ロックウェル･オートメーションのSecureOT

SecureOTは、OTネイティブ設計のソフトウェア、専門家サービス、およびグローバル規模を組み合わせて、リスクを軽減し、稼働時間を向上し、産業運用のコンプライアンスを簡素化します。

こちらをご覧ください

高度な資産可視化

SecureOT™プラットフォームは、ベンダーを問わずデバイスレベルまで資産を識別し、資産ごとに1,000を超える特性を収集します。これにより、原則1で求められるリスクに基づいた接続性判断を行なうためのコンテキスト基盤が構築されます。特に旧式のシステムが関係する場合に有効です。

システム強化とセグメンテーション

SecureOTプラットフォームは、自動パッチ適用、構成管理の特定と実行、ネットワークセグメンテーションの計画をプラットフォーム内で直接実行できるため、「OT (制御技術)向けのセキュアな接続に関する原則」を直接サポートします。当社のコンサルティングサービスでは、お客様の運用プロファイルとリスクプロファイルに合わせたネットワークセグメンテーションの設計と提供が可能です。

年中無休24時間体制のマネージド検知および対応

セキュリティ監視･対応サービスは、専用のセキュリティ･オペレーション･センター(SOC)を通じて、OT脅威を継続的に監視します。これにより、組織は原則7の推奨事項を満たすことができます。

さらに、マネージド･セキュア･リモート･アクセス･ソリューションを統合することで、アクセスポイントで「人間と機械」間のデータを取得できます。技術者がリモートでログインする場合でも、現場でオートメーションプロセスが実行される場合でも、当社のソリューションポートフォリオは、アクションの相関関係をリアルタイムで検証･分析するのに役立ちます。つまり、生産に影響が出る前に異常を検知できるということです。

脆弱性管理

OT環境に配慮したスキャン、コンテキストに基づくリスクの優先順位付け、そしてクローズドループによる修復プロセスを単一のプラットフォームに統合したSecureOTプラットフォームは、生産活動を停止させることなく、脆弱性を能動的に特定し対処できるよう支援します。

ロックウェル･オートメーションは、フロスト&サリバンより、OTサイバーセキュリティサービスの世界的リーダとして認定されました。

ご覧ください

現在のOTセキュリティの状況に不安をお持ちではありませんか?

当社の「サイバーセキュリティ対策評価」をご活用ください。現状の態勢を評価し、課題(ギャップ)を特定した上で、優先順位付けされたロードマップの策定を支援いたします。

評価を受ける

よくある質問: 「OT (制御技術)向けのセキュアな接続に関する原則」

「OT (制御技術)向けのセキュアな接続に関する原則」の策定に関与した機関は、以下の通りです。

英国国立サイバーセキュリティセンター(NCSC)
オーストラリア信号局(ASD)傘下のオーストラリア･サイバーセキュリティ･センター(ACSC)
カナダ･サイバーセキュリティ･センター(Cyber Centre)
米国サイバーセキュリティ･インフラ･セキュリティ庁(CISA)
米国連邦捜査局(FBI)
ドイツ連邦情報セキュリティ庁(BSI)
オランダ国立サイバーセキュリティセンター(NCSC-NL)
ニュージーランド国立サイバーセキュリティセンター(NCSC-NZ)

はい。これらの原則はITチームとOTチームの双方に適用されます。なぜなら、「セキュアな接続」は、両チームの責任領域が交差する接点に位置しているからです。これらの原則は、異なるチーム同士が共通の目標を達成するための「架け橋」となり、共通言語としての役割を果たします。

貴社にとって何が最適であるかは、最終的には貴社の環境、既存の技術、そしてビジネス目標によって決まります。しかし、多くの場合、最も重要な業務に対してどの程度の保護レベルを提供できるかという観点に基づき、論理的な順序で導入を進めることができます。具体的には、以下のような項目が挙げられます。

基盤を構築し、ベンダーに依存しない資産インベントリの整備を最優先事項とする: いかなる原則を適用するにしても、まずはOT (制御技術)アーキテクチャについて、明確かつ確固たる全体像を把握していなければなりません。そのためには、ネットワーク上に何が存在するのかを正確に把握できるよう、包括的かつベンダーに依存しない資産インベントリの整備が不可欠です。
次に、「原則1」に着手する: OTの接続を確保するにあたり、文書化の徹底と、リスクに基づいた正式なビジネスケースの策定こそが第一歩となります。信頼ゾーンと非信頼ゾーンを明確に区分し、「どの資産がどの資産と通信する必要があるのか」、そして「目標とするセキュリティレベルや、許容可能な運用・ビジネス上のリスクレベルはどの程度か」を具体的に定めます。
続いて、「原則2」に注力する: インターネットに直接接続されている資産を特定し、その数を削減することは、攻撃対象領域(アタックサーフェス)を縮小するための絶好の機会となります。
最後に、「原則5」を実践する: フィッシング攻撃に強い多要素認証(MFA)などのツールを活用して境界防御を強化することは、機密性の高い制御操作を保護する上で、極めて効果的な手段の1つです。

ネットワークのセグメンテーションや、iDMZのような「トラストバウンダリ/信頼の境界(Trusted Boundary)」による制御を活用し、陳腐化した製品を外部のリスクから隔離してください。これにより、サポート対象外となったこうしたシステムへの依存度を低減させるための、長期的な最新化や移行に向けた取り組みを検討･策定する期間において、必要な保護を確保することができます。

公開 2026年5月13日

お客様へのご提案