コラム 海外拠点や工場に重視されるOTセキュリティとは？リスクと具体的な対策を紹介（1/3）～海外拠点や工場におけるOTセキュリティのリスク～

OT（Operational Technology）セキュリティとは、OTシステムと呼ばれる産業用の制御システムを保護するためのセキュリティ対策を意味します。OTセキュリティが重要視される背景には、急速に進むデジタル化やスマートファクトリー化が影響しています。従来のOTシステムは、工場設立当時の設計思想をもとに構築・運用されており、セキュリティを最優先にした設計ではありません。そのため多くの工場では、10年以上前に設計されたレガシーシステムがそのまま運用されており、セキュリティ面の脆弱性が問題視されています。

また、生産性を向上させるためには、近年のデジタル化やスマートファクトリー化に伴い、ITシステムとOTシステムの統合が必要です。さらに、クラウドがこれまで完全に隔離されていた工場のシステムと接続されることで、攻撃対象が広がり、サイバーリスクが増加します。この点は、自社だけでなく、サプライチェーン全体での注意が求められます。

OTセキュリティ対策は、システムやOSの脆弱性を狙うような攻撃から企業・生産設備を守るというリスクマネジメントの観点から不可欠なものだといえます。

OTセキュリティの実現には、海外拠点やOT環境特有のリスク要因を理解することが必要です。

OT環境下（工場）では生産システムの可用性が最も重視されるため、IT環境とは違って万が一サイバー攻撃を受けても迅速な対処が難しく、システム停止による対処などでコスト増を引き起こすリスクがあります。

可用性が重要視されている環境下では古いOSやシステムなどを利用し続けていることも珍しくないため、最新のセキュリティパッチの適用が難しく、結果として脆弱性が放置されてセキュリティリスクを把握しきれない状況に陥る可能性があります。

長年使用されているレガシーシステムの多くは、最新のサイバーセキュリティ基準に対応していません。脆弱性が解消されないまま運用され続けるとサイバー攻撃の標的となりやすく、本社を標的としたサイバー攻撃の入り口として使用されるなど、深刻な被害につながる可能性があります。

また、OTシステムはネットワーク接続を前提としていないものも多く、現在のITセキュリティツールをそのまま活用できない場合があります。例えば、仮想パッチなどの間接的な手法を用いて脆弱性に対応する必要があります。

OTシステムはリアルタイムの制御や監視を行うため、システム遅延や障害は生産ライン全体のみならず安全性にも深刻な影響を与えます。例えば、サイバー攻撃によるシステム遅延の場合、特に電力網や交通インフラの制御システムが攻撃を受けると、人々の安全に直接的な影響を及ぼす恐れあります。

各国の法規制に基づいて独自に設計されたシステムは、OTセキュリティにおける一貫性を損なう要因になります。
本社側は各拠点で求められるセキュリティ対策や基準を考慮しつつ、グローバル基準と各拠点の状況とのギャップを埋めていく必要があります。

拠点ごとのOTシステムに対するサイバー攻撃は、サプライチェーン全体に波及する可能性があります。特に取引先とのやり取りが主となるサプライチェーンでは、自社以外にも多大な影響を及ぼすリスクがあります。
例えば、某自動車会社のインシデントのケースでは、主要サプライヤーがサイバー攻撃の被害対象となり、サプライチェーンシステムでつながっていたことで、全工場の生産がストップする被害を被りました。

リスクを最小限に抑えるためには、迅速な対応や体制構築だけでなく、サプライチェーンに接続している機器やシステムを常に最新の状態にアップデートすることが求められます。