OTとIT、それぞれの技術の違い
制御技術であるOT(Operational Technology)に対し、情報技術であるIT(Information Technology)はコンピュータおよびネットワークを利用し情報を扱う技術です。
大きな違いはパーソナルコンピューターがWindows、Linuxなどの共通化されたOS(Operating System)を用いて運用されていることに対し、OTの主要な制御機器であるPLC(Programmable Logic Controller)は、「ラダー」と呼ばれる制御専用のプログラム言語とメーカー独自のソフトウェアで動作している点です。
PLCとラダー言語の特徴
ラダーは、設定した条件に従って、ランプやコイル(リレーやコンタクタ)のON、OFFを切り替え、または状態を保持したり、スイッチによる入力を受け付けたり、という処理を100mSなどの短い時間で繰り返し判定することに特化しています。
通信プロトコルの違い
通信においては、PCがTCP/IP、SMTP、UDP、HTTPなど複数の複雑なプロトコルを利用しているのに対し、
PLCは主にModbusという産業機械向けのシンプルな通信プロトコルを利用しています。Modbusは親機と子機という関係があり、親機から子機に対して特定のコマンドを送信し、子機から返答を受け取ることで情報をやりとりします。TCP/IPに拡張したModbus/TCPとバイナリを用いたModbus/RTUの方式が存在し、TCPはPC同様イーサーネット、LANケーブルを用い、RTUは規格に応じた通信ケーブルを用います。
セキュリティ対策の根本的な違い
セキュリティの観点での大きい違いは、PCは感染など被害が確認された段階でネットワークから遮断、停止、初期化するという対応が可能であることに対し、OT機器は生産と紐づいているため切り離し、停止することが非常に困難です。なぜなら製造業は他業種に比べ、装置、機械が24時間365日連続で自動運転しているケースが多いためです。
また、PCではウイルス対策ソフトやFW、UTMなどのセキュリティ機器による対策が充実しており、何よりOS自体の更新が高頻度かつ自動で行われるのに対し、OT機器ではPLC自体に直接ウイルス対策ソフトを組み込むことが難しく、ファームウェアのアップデートは低頻度かつ手動で行う必要があります。
OTセキュリティにおける基本方針
このことからOTにおいては、決まった端末以外からのアクセスを受け付けない、接続時間を限定する、操作可能な階層まで侵入させないなど、OT機器を秘匿・保護する対策が必要です。また、ファームウェアの更新や保守などでOT機器に接続する端末自体のウイルス対策を常に万全にし、USBやSDカードも厳重に管理する必要があります。対策の方向性はITセキュリティと似ていますが、OTセキュリティは「第三者やマルウェアに接触されたら終わり」という視点で、セキュリティシステムや運用方法を構築・徹底する必要があります。
次回予告|第4回「OTセキュリティインシデントの事例と基本的な対策」
次回は、実際に起きた製造業へのサイバー攻撃事例をもとに、OTセキュリティの脅威と基本的な対策の考え方についてご紹介します。
「うちは関係ない」と思っていた企業が被害を受けた背景とは何か、実例から学べる教訓をお伝えします。
まずは無料相談から始めませんか?
工場のセキュリティやDXのことでお悩みなら、まずは60分の無料オンライン相談をご活用ください。
現状の整理から、導入の方向性まで丁寧にご案内いたします。
