正念場を迎えるOTセキュリティの現状と今後–TXOneのリュウCEO

今回は「正念場を迎えるOTセキュリティの現状と今後–TXOneのリュウCEO」についてご紹介します。

関連ワード （CIO／経営、トップインタビュー等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　近年は製造やエネルギー、交通、医療などの制御系システム（OT）分野のセキュリティの重要性が高まっている。システムの高度化やIT技術の採用拡大などが背景にあり、ITシステムでは日常茶飯事のサイバー攻撃などの影響も大きく受けるようになってきている。このためOT分野でセキュリティベンダーの動きも活発化している。台湾のTXOne Networksで最高経営責任者（CEO）を務める劉栄太（テレンス・リュウ）氏に現状と方向性を聞いた。

　同社は、2019年にトレンドマイクロと台湾のMoxaとの合弁で設立された。現在シリーズBまでで約1億470万ドルの資金を調達。日本と台湾ではトレンドマイクロと連携し、それ以外の市場では同社主体で事業を推進しているという。産業装置や半導体製造など約350社以上の顧客を持ち、近年の2倍以上のペースでビジネスが成長。2022年の売上総利益は3600万ドル以上となった。2022年8月に日本市場への本格進出も表明した。

　セキュリティソリューションは、OTの中でもプログラマブルロジックコントローラー（PLC）などの制御機器や産業用ロボットなどの現場システムに特化し、USBメモリー型のセキュリティ検査ツール「Portable Inspector」や脆弱（ぜいじゃく）性対策の「Stellar」、ネットワーク不正侵入防御（IPS）アプライアンスを展開する。またこれらをOEMとして産業装置メーカーなどにも供給し、横河電機や三菱電機、ドイツのSiemensなどと協業している。

　劉氏によれば、OTシステムでのサイバーセキュリティリスクには、内部関係者によるミスや悪意ある行動、サイバー犯罪者による攻撃、国家的な支援を受けたサイバースパイ組織などがある。従来のOTシステムは工場内などの閉域で運用されるため、ITシステムのような脅威の影響が少なかった。しかし、上述の背景からITシステムとの接続が増え、それに応じてランサムウェア攻撃などの脅威による実害が増加。このためOTセキュリティの必要性が急速に高まっている。

　劉氏は、OTセキュリティの主な課題に、ITセキュリティの脅威がOTにも及んでいることと、IT/OT双方のセキュリティに精通したリソースの不足を挙げる。そこでTXOne Networksは脅威の「予防」と「対応」に注力しているという。

　「予防」では「ハイジーン」（衛生）がキーワードになる。「（多層防御などがある）ITシステムと違い、OTは基礎的な対策もあまり導入されておらず無防備に近い状態。基本的なサイバーセキュリティ環境の整備が急がれる」（劉氏）ため、同社は各分野の大手企業と連携し、分野に応じたセキュリティ対策のベストプラクティスづくりを進める。さらに、ここから業界共通のガイドラインなどを整備していく。例えば、半導体製造装置のサイバーセキュリティ上の安全設計を支援する「SEMI E187/188」の策定などに貢献してきた。

　「対応」では、上記セキュリティソリューションの対象とする現場寄りの機器やシステム、専用ネットワークを「最重要保護資産」と位置付け、OTで最も重視される可用性への影響を最小限にする。万一OTシステムが侵害された場合、時に人命への直接的なダメージにも及ぶためリスクが高いことから、上記セキュリティソリューションでは許可された通信や操作のみを最優先とする「ホワイトリスト」のアプローチを採っている。

　OTのセキュリティは、ITと比べると初期段階にあるとも言える。現時点でOT業界を挙げた環境整備が進めば、将来予想される脅威の拡大に備えられると期待できるが、劉氏は既に遅れているとの危機感を示す。

　「可用性が最優先されるOTへのセキュリティの導入は極めて慎重に行う必要がある。またITの場合もそうだったが、自社がインシデントに遭う、あるいは業界大手でインシデントが発生してようやく業界全体が危機感を募らせ取り組みが進む出すなどのケースが多い」（劉氏）といい、上述の半導体製造業界の取り組みも、2018年に業界大手TMSCの工場設備がランサムウェア「WannaCry」に感染し甚大な被害となったことがきっかけだったという。

　また、ITシステムとOTシステムの接続機会の広まりもセキュリティリスクを高める恐れがある。例えば、現場のOTシステム・機器からのデータを活用して制御を高度化したり、生産品など品質検査をAIで行ったりするようなエッジコンピューティングでは、ITの技術が多用されるためだ。劉氏も「複数の現場システムを束ねるより上位のシステムでは、 一見してOTでも中身に『Windows』などが数多く使われIT化が進んでいる。安定性重視から古い『Windows 7』などを使うケースもあり、ITセキュリティの仕組みで対応する部分が広がっている」と述べる。

　こうしたことからITセキュリティベンダーがOT分野にも進出し、OTセキュリティにフォーカスする新興ベンダーも増加。劉氏によれば、OTセキュリティ市場は2027年頃に世界全体で200億～270億ドル規模に成長することが見込まれ、商機と捉えるベンダーも少なくないようだ。

　劉氏は、「われわれと競合関係になるベンダーもあるが、顧客ニーズに応じてパートナー関係を結ぶケースもある。エコシステムづくりも必要になるだろう」と話す。一例では、2021年11月にIT/OTセキュリティを手掛けるNozomi Networksと協業し、IoT/OT資産の管理や脅威などの監視をNozomi Networksの「Guardian」で行い、資産に対する攻撃をTXOne NetworksのEdgeシリーズで自動防御するソリューションを開発、提供しているという。

　今後のOTセキュリティについて劉氏は、「予防（ハイジーン）を徹底できれば、OTシステムに対する脅威の99％を防御できるだろう。まずはハイジーンの推進が重要になる。残る1％の標的型攻撃は難しく、ITセキュリティで主流のEDRやNDR、XDR（脅威検知と対応ソリューション）でも脅威を見逃しOTシステムに影響することがあるだろう。万一そうした場合でも、（ITセキュリティ側とも連携しつつ）OTシステムの最終防衛をわれわれが担う」と述べている。