近年、社会インフラや工場・プラントなどを標的とするランサムウェアによる攻撃が増加しています。これまでは重要な情報を暗号化して金銭を要求する攻撃が主流でしたが、現在ではそれに加えて窃取したデータを流出させると脅すなど、繰り返し脅迫を行う悪質な攻撃に変わってきています。工場の製造現場一カ所が被害を受けると、そこだけにとどまらず、サプライチェーンを構成する企業や取引先にも影響を与えるなど、被害は甚大なものになりかねません。このような事態を未然に防ぐためには一体どうすればよいのでしょうか。ここでは、さまざまなサイバー攻撃からお客さまを守るために、お客さまの現状把握から監視・運用までを一気通貫で支援する、東芝デジタルソリューションズの制御システムセキュリティと、その中で重要な役割を担う「Claroty」をご紹介します。

「情報セキュリティ10大脅威 2024^※1」によると、組織に向けた脅威は、「ランサムウェアによる被害」が4年連続で1位となり、「サプライチェーンの弱点を悪用した攻撃」が2年連続で2位となりました。また、産業へのランサムウェアによる攻撃が前年（2021年）より87％増加し、すべてのランサムウェア攻撃のうち72％は製造業が標的となっていたこと、さらには工場にある産業制御機器の83％には何らかの脆弱（ぜいじゃく）性が存在することも報告されています^※2。ランサムウェアによる攻撃は、巧妙化かつ悪質化しています。従来のデータを暗号化して金銭を要求する攻撃だけでなく、窃取したデータをダークウェブに流出させると脅す攻撃など複数の脅迫を行う、いわゆる多重脅迫による攻撃が増えているのです。

※1：IPA（独立行政法人情報処理推進機構）による公表
※2：出典「2022 ICS/OT CYBERSECURITY YEAR IN REVIEW EXECUTIVE SUMMARY」

なぜ、製造業を標的としたサイバー攻撃が増えているのでしょうか。この背景には、制御システム（OT）のIoT化やデジタルトランスフォーメーション（DX）の推進があります。これまで工場内に閉じられていたOTを情報システム（IT）と接続し、さらにクラウドサービスなどの外部と連携して、稼働の可視化や最適化、生産性の向上、リモート接続による保守業務の効率化などが目指されています。その一方で、脅威の侵入口が増えたり複雑化したりしてセキュリティリスクが高まり、攻撃の標的にされやすくなっているのです。また、許可されていないパソコンや USB（Universal Serial Bus）メモリを持ち込んでマルウェアに感染させられたり、さらにはベンダーの保守回線や不正な無線LANのアクセスポイントといった外部へ接続できる経路が隠れていたりする危険もあります。情報システムと同じように、汎用的なOSやプロトコルが制御システムの装置に活用されはじめたことも、サイバー攻撃を受けやすくなっている要因の一つです。

これらのようなことから、いまは工場の制御システムや制御システムネットワークも攻撃されることを前提として、セキュリティ対策に臨まなければならない時代なのです。

制御システムにおいてセキュリティ対策の重要性が高まる一方で、その実現は一筋縄ではいきません。対策を施すためには、システム全体の現状を把握することが必須ですが、製造の現場では現状の把握そのものが困難だといわれているからです。

一般的に制御システムは、情報システムよりもシステムの寿命が長くなる傾向があります。10年から20年以上にわたり稼働している機器や設備も珍しくありません。導入した当時の水準のままのセキュリティ対策や、入れ替わる担当者、不十分な資産管理などにより、どこにどのような機器や設備があって、それらがどのような通信を行っているのかを把握できていないケースが多々あります。機器や設備の存在やその状況を可視化して、現状を正しくつかむことが最初の一歩です。

また、機器や設備の可視化とともに、個々の機器が抱えるセキュリティリスクの把握が求められます。機器それぞれに対してOSやファームウェアのバージョン、パッチの適用状況などを把握し、リスクを正確に管理できて初めて、機器や設備をサイバー攻撃から守る準備が整います。

続いて、攻撃への対応です。ラテラルムーブメントと呼ばれる、ネットワークに侵入した後、しばらく潜伏してひそかに侵害する範囲を拡大していく攻撃手法があります。このような攻撃へは、ネットワークに侵入されたときの対応として、重要な機器への危険な攻撃を検知する仕組みが必要になります。

当然、サイバー攻撃を受けた際にはすぐに対処したいものです。重要な設計データや製造データが窃取されたり、データが暗号化されたり、制御システムネットワークに過負荷な状況を作ってシステムが停止させられたりと、インシデントが発生する前に異変を察知することが求められます。このような事態を未然に防ぐためには、攻撃の兆候をいち早く正確に捉え、対策を講じていくことが重要です。

このような、機器や設備の可視化、セキュリティリスクの把握、攻撃の検知、そして攻撃の把握などの要件に応えるため、東芝デジタルソリューションズでは制御システムセキュリティの一環として、 XIoT向けサイバーセキュリティソリューション「Claroty」を提供しています。

Clarotyは、世界で1万社を超える導入実績を誇る、米国Claroty Ltd.のソリューションです。当社では、いくつかのセキュリティソリューションの比較検証を重ね、Clarotyの取り扱いを決めました。決め手の一つには、対応するプロトコルの多さがあります。OTセキュリティにおいて、如何にプロトコルに対応できるかは重要です。なぜなら、一般的に制御システムは、メーカーごとに独自のプロトコルを搭載していることが多いからです。Clarotyは2024年時点で約400個のプロトコルに対し、独自に解析して異常を検知することができます。例えば一般的なフィールドネットワークのほか、メーカー独自のプロトコルなどにも対応しています。この対応するプロトコルの多さに加え、今後の進化に期待できること、さらには同社と連携した対応ができることなど、当社が考える製造業全体のレジリエンス向上に向けた取り組みに合致するソリューションです。

当社は、お客さまのシステム環境のライフタイム全体を通してOTセキュリティ対策ができるように、さまざまなソリューションとサービスの提供を行っています。このClarotyもその一つで、現場のアセスメントから導入、運用・保守まで一連のライフサイクルを支援しています。

Clarotyは、前述した4つの要件に対し、「資産の識別と可視化」「脆弱性とリスクの自動評価」「仮想ゾーニングによる監視と警告」「セキュリティ脅威と設備異常の検出」の機能を提供しています（図1）。

OTセキュリティを導入する場合、現場で稼働している製造装置を停止させずに導入できることがポイントになります。Clarotyは制御システムネットワークに設置されたネットワークスイッチのミラーポートに接続するだけで、通信データを収集できるようになるため、現場の稼働を止めることなく導入することが可能です。工場の環境に影響を与えずに、通信データを収集、分析して既存の資産やネットワークの状況を容易に可視化し、潜在的な脅威や異常を検知します（図2）。

「資産の識別と可視化」では、取得した通信トラフィックを分析して自動検出した、ネットワーク上にある機器や設備といったデバイスを、情報資産のダッシュボードに表示します。デバイスのOSやベンダー名、モデル名、バージョンなどの詳細もわかるなど、機器の状況の正確な把握に貢献します。

また可視化した資産に対し、「脆弱性とリスクの自動評価」を行います。具体的には、脆弱性・脅威・重要度・アクセス容易性・波及度を基に、想定されるリスクのスコアを自動で算出して評価するものです。ここでは、例えば情報セキュリティのグローバル標準として知られるCVE（Common Vulnerabilities and Exposures ）といった共通脆弱性識別子から、自社のネットワーク機器に脆弱性があるかどうかを判断し、自動で評価することも可能です。これにより制御システムネットワークに大量に配置された各種機器に優先順位を付けて、効果的にセキュリティ対策を打てるようになります。

日々発見される数多くの脆弱性が、セキュリティ機関に報告されるなかで、それらの公開情報を現場の担当者が一つひとつ追っていくことは大変な作業です。またセキュリティ情報を読み説くことには、相応のスキルが必要になります。CVEを活用できることで、現場の負担を大幅に軽減できるようになります。

「仮想ゾーニングによる監視と警告」と「セキュリティ脅威と設備異常の検出」について説明します。Clarotyでは、制御システムネットワークを仮想ゾーンに分けて各ゾーン間の通信ルールを自動で生成し、もし通信ルールから逸脱した怪しい挙動を検出したときは、異常な通信として迅速にアラートをあげ、時系列でその状況を表示します。例えば、手当たり次第に行われているポートスキャンを、通常と異なる挙動として、つまり攻撃の兆候として検知し、ユーザーへ早期の対応を促すとともに、どの機器からどの機器にコネクションが張られ、何が行われたのかといった過程を時系列に表示することで原因分析の支援を行います。

このように、製造現場の機器や設備とネットワークに関して現状の可視化とリスクの把握、攻撃や異常の検出が、Clarotyの導入によりできるようになります。

当社は、これまで社内外において数多くのさまざまなシステムやネットワークの構築を経験し、そのノウハウを蓄積してきました。これを生かしてお客さまに、セキュリティコンサルティングから対策ソリューションの設計と構築、監視運用のサービスまでを、一気通貫で提供します。これにより、Clarotyをはじめとするソリューションやサービスを単体で提供するよりも、個々の実力と真価をより発揮させることができ、お客さまの環境におけるレジリエンスの強化を実現できると考えています。

コンサルティングでは、お客さまの現状を正確に把握するためのヒアリング、そしてセキュリティの専門家が各種規制と現状のギャップを分析するアセスメントを行います。当社では、2000年代前半からセキュリティに関する国際標準（ISO/IEC規格）のコンサルティングを行うなど、継続的な取り組みを進め、また、国や団体などによるセキュリティガイドラインの策定、つまり規程の制定にも参加しています。例えば、経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」や日本電気協会情報専門部会の「電力制御システムセキュリティガイドライン」の策定にも携わりました。

コンサルティングにより状況を把握したうえで、適切な対策やその優先度を考慮して、具体的な対策ソリューションの設計や構築を、グローバルで実績のある各種セキュリティ製品も活用しながら行います。導入後は、24時間365日の体制で、セキュリティの監視と運用を代行するサービス（OT-SOC：OT Security Operation Center ）と、インシデントの対応を行うサービス（SIRT：Security Incident Response Team）を提供します。これらの一気通貫したサービスで、サイバー攻撃からお客さまを守ります。

私たちの生活や社会インフラは次々とネットワークに接続され、デジタルの恩恵を受けると同時に、社会全体でセキュリティの脅威が高まっています。当社は、重要インフラ、そして製造業の強靭化に向けて、重要インフラ事業者や製造事業者、それらの関係企業を含むサプライチェーン全体と、セキュリティベンダーやIT系およびOT系のSI会社といったパートナー企業をつなぐハブの役目の担い手として引き続き貢献していきたいと考えています（図3）。

セキュリティは競争領域ではなく、協調領域です。サプライチェーン全体の一社一社を守ることが重要です。サイバー攻撃から自社を、ひいては社会全体を守るため、まずはアセスメントから始めてみませんか。東芝デジタルソリューションズへ、ぜひご相談ください。

• 制御システムセキュリティ
  
• XIoT向けサイバーセキュリティソリューション「Claroty」
• 東芝 サイバーセキュリティ