【PoC事例｜製造事業者】止められない工場をどう守るか。OsecTによるOTセキュリティの現実解

製造現場では、設備を止められない／簡単には構成を変えられない／全体像を把握しきれていない、といった事情からOTセキュリティ対策が進みにくいのが実情です。

だからこそ工場を止めずにOTセキュリティを進めるには、生産に影響を与えにくい形で、OTネットワーク内部の実態を把握することから始める必要があります。

今回のPoCで採用された、NTTドコモビジネス社のOsecT（オーセクト）は、OT環境の変更を抑えながら、OTネットワーク内部の可視化と監視を行います。さらに、通常時を基準に「いつもと異なる挙動」を捉えるアノマリ検知を行えるため、既知の脅威だけでなく、攻撃の兆候にも気づきやすい点が特長です。

可視化により見えてきた主なリスク

• 監視対象の約60%がサポート切れOSを利用
• 想定外の外部通信
• 資産管理台帳にない端末や、ベンダーによる接続状況

このように、「管理できていると思っていた範囲と、実際に存在する範囲にズレがある状態」が明らかになりました。可視化によって現状を事実ベースで把握し、許容できるリスクか・対応すべきリスクかを判断できる状態をつくることがOTセキュリティの出発点である、という重要性を改めて確認する結果となりました。

可視化した情報を現場運用につなげるうえで重要になるのが、アラートの扱いです。

今回のPoCでは、NTT-ATのOsecT運用支援サービスを組み合わせ、検知アラートを工場の事情を踏まえて整理し、現場が次に何を確認すべきかまで含めて支援する運用形態を検証しました。

• 外部通信ではあるが、自社管理のグローバルIP宛であり、ただちに情報漏えいのリスクは低い
• 業務上必要な通信かを判断するために、端末の用途・アラート発生時の作業確認を推奨

このように通知することで、現場は単にアラートを受け取るのではなく、本当に異常か・すぐ対応が必要かを判断しやすい形で情報を受け取れるようになりました。

OTネットワークでは、Windows系の管理通信や探索系トラフィックなど、一見すると異常にみえるものの実際には業務上必要な通信が少なくありません。そのため、アノマリ検知が初期設定のままだと現場にとって不要なアラートが多くなってしまうため、

• 通常業務に起因するアラートに過度に煩わされない
• 一方で、探索や拡散といった初期兆候には気づける

このような、運用負担を抑える状態に近づけるためには、実環境に合わせた適切なチューニングが不可欠でした。

もう一つの重要なことは、資産管理との連携です。従来の台帳管理では、どうしても実態とのズレが生じやすいという課題がありました。

そこで、OsecTによる端末検知結果をもとに、すべてを棚卸しするのではなく、新たに検知された端末や変更があった端末など、差分だけを確認して台帳へ反映する形へ、資産管理フローを整理しました。

この見直しにより、資産管理を特別な業務としてではなく、日常業務の中で無理なく回す方向性が見えてきました。

今回のPoCを通じて得られたことは、OTセキュリティの技術的な知見に加えてOT資産や通信の実態が可視化されたことで、事実に基づいて判断する運用へ変化したことです。

• ネットワークにつながった瞬間に検知
• レガシーOSや外部通信がひと目でわかる状態
• 事実に基づいて判断できる運用

この変化により、OTセキュリティは一度きりの施策ではなく、継続的にリスクをコントロールする運用として捉えられるようになりました。

OTセキュリティは製品を導入して終わることではなく、可視化・評価・対応・見直しを継続できる運用に落とし込むことです。

今回のOsecTと運用支援サービスを組み合わせた取り組みは、製造現場におけるOTセキュリティの始め方と続け方を具体的に示すものとなりました。

OTセキュリティサービス「OT@Mo」（オーティーオトモ）ラインナップ