IIoTとAIの台頭により、OTデータやネットワークの捉え方が根本的に変化しています。前回の記事「OTデータの潜在的価値を引き出すOTインフラの構築」において、将来を見据えたOTネットワークがAI主導の未来に向けてOTデータの隠れた価値を引き出す方法について解説しました。

AIには多くの未開拓の可能性がありますが、それはまた両刃の剣でもあります。AIの価値を引き出すためには、これまで孤立していたシステムを開放し、そのデジタルフットプリントを拡大させる必要があり、高度なAI駆動のサイバー攻撃を招くことになります。このトピックは、最近の「Manufacturing Happy Hour」ポッドキャストエピソード「How AI is Reshaping Security and OT Network Requirements」にて詳しく議論されました。OTネットワークは単純な接続から複雑なシステムへと進化し、かつてないほど脆弱性を増しています。貴社のOTネットワークは、この新たな時代を乗り切るために構築されているでしょうか？それとも、貴社の業務とAIへの野心を停止させる単一障害点となってしまうでしょうか？

OTネットワークのセキュリティを評価する際に留意すべき重要なポイントを以下に示します。

ポイント1：ネットワークのエアギャップは完全ではない可能性がある

多くの製造業者は、自社のエアギャップネットワークは完全に安全で、機密システムを危険から隔離していると信じています。しかし、本当にそうでしょうか？疑問に思う場合は、いくつか簡単な質問を自分自身に問いかけてみてください。

• 単一のマシンが診断データをクラウドサービスに送信していますか？
• 工場は工場内の他のネットワークとデータを共有していますか？

いずれかの質問への答えが「はい」の場合、ネットワークはエアギャップによる保護を失っています。隔離のみに依存する手法は、時代遅れのセキュリティ対策であり、運用を危険にさらす可能性があります。今日では、重要な資産を保護するために強力なセキュリティ制御をネットワークに統合することが例外ではなく標準となっています。しかし、過去15～20年間、データセキュリティはOTネットワークの中心的なトピックではありませんでした。多くの産業環境では、実際のプロセスに近い領域で保護がほぼ皆無の状態です。OTエンジニアにとっての産業ネットワークセキュリティは、今や注力すべき、挑戦的な新領域となっています。

ポイント2：AIは攻撃者の仕事を簡素化する

AIによる新種のサイバー攻撃をもたらすだけでなく、既存の侵入手法も増強させます。AIがセキュリティ脅威を深刻化させる可能性のある以下の点を検討してください。

• より高速・高精度化：AIを活用することで、ハッカーは膨大な量の情報を瞬時に処理し、脆弱性を極めて正確に特定し、カスタマイズされた攻撃を設計することが可能になります。例えば、ハッカーは現在、AIを利用して、完璧にパーソナライズされたフィッシングメールを作成しています。以前は誤字脱字や矛盾点などの異常な箇所を見分けられましたが、AI生成のフィッシングコンテンツは本物とほとんど区別がつきません。
• リアルタイム適応：最大の脅威は、適応型マルウェアです。以前は、ハッカーは全ポートをスキャンして特定の脆弱な侵入点を探していました。もしポートが閉じられていれば、別の標的へと移行していました。AIを利用すると、ハッカーはシステム内で遭遇した状況に応じてコーディングや攻撃戦略を即座に適応させられるため、攻撃ははるかに効率的かつ危険なものになります。

ポイント3：サイバーレジリエンスが不可欠に

サイバー攻撃が巧妙化するにつれ、攻撃の被害に遭うことは避けられません。脅威の防御だけに注力するだけではもはや不十分です。ネットワークはサイバー攻撃に耐え、回復し、適応することで、その影響を最小限に抑え、運用の継続性を確保する必要があります。これが当社がサイバーレジリエンスと呼ぶものです。このようなレジリエンスを実現するには、堅牢な多層防御戦略という強固な基盤が必要です。つまり、ネットワークをゾーンとコンジットに分割し、それぞれにリスクレベルに基づいたセキュリティ対策を施すということです。これは、最も貴重な資産の周りに多層的な保護を施すようなものです。最適な導入方法は、設計段階からセキュリティを重視したネットワークデバイスを使用し、OT環境全体の可視性、制御性、柔軟性を実現する階層型セキュリティアーキテクチャを構築することです。

多層防御戦略は、さまざまな業界で広く使用されているグローバルなサイバーセキュリティ規格であるISA/IEC 62443の原則に直接準拠していることは言うまでもありません。米国国立標準技術研究所（NIST）によるセキュリティフレームワークと同様に、ISA/IEC 62443は製造業者がプロセスと製品そのものに対して厳格なセキュリティ基準を確立するための指針を提供します。NISTやISA/IEC 62443に馴染みがなくてもご安心ください。食品業界を例に考えてみましょう。ISA/IEC 62443などのセキュリティ認証は、サイバーセキュリティ製品の栄養成分表示ラベルのようなものと考えることができます。ISA/IEC 62443-4-1認証は食品製造プロセスをカバーし、ISA/IEC 62443-4-2は製品認証、つまり製品の栄養成分表示ラベルのようなものに相当します。これらの認証は、機器とプロセスの技術的特性と、業界標準のセキュリティ要件への適合性を検証するものです。

賢明な選択肢：認証取得ベンダーによるサイバーセキュリティ強化

効果的なサイバーレジリエンスは、厳格なセキュリティ基準を遵守するソリューションプロバイダーを選択することから始まります。セキュリティを重視する企業は、ベンダーが業界で認められた認証要件を満たしていることを確認しています。セキュリティを最優先する企業は、ベンダーが業界で認められた認証要件を満たしていることを確認しています。特に、セキュア開発ライフサイクル（SDL）のIEC 62443-4-1認証を取得したサプライヤーを探してください。この認証は、製品が設計段階から本質的に安全であることを保証します。IEC 62443-4-2認証デバイスを選択することで、重要なシステムのセキュリティをデバイスレベルでさらに強化できます。

堅牢なネットワークセキュリティを実現するには、安全なデバイスを購入するだけでは不十分です。包括的かつ多層的な保護への取り組みも不可欠です。ベストプラクティスとして、VLAN、ファイアウォール、侵入検知システム（IDS）、侵入防止システム（IPS）などの技術を用いて、重要なネットワークを一般的なIT環境や不正アクセスから隔離することが重要です。可視性も効果的なセキュリティ戦略の重要な要素です。ネットワークの完全な可視性を確保することで、あらゆるインシデントに迅速に対応し、サイバー攻撃の影響を最小限に抑えられます。ネットワークおよびセキュリティ管理プラットフォームは、ユーザーフレンドリーなパッケージでネットワークの包括的な可視性を提供し、エンジニアがネットワークを監視し、不審な活動を検知しやすくします。

とはいえ、堅牢なサイバーセキュリティ防御を構築するだけでは不十分です。長期的な安定性とセキュリティは、ベンダーによる継続的なサポートと脆弱性管理への取り組みにも依存します。ホットラインと同様に、セキュリティ問題に対処し顧客のネットワーク防御を最新の状態に保つため、専任の対応チームを設置している企業もあります。さらに、業界リーダー企業はしばしばCVE採番機関（CNA）としての役割を担います。この立場により、ベンダーは製品脆弱性開示プロセスの最初の重要なステップを直接主導できます。CNAとして、ベンダーは顧客に対してより効率的で権威ある信頼性の高いセキュリティ対応を確実に提供します。

デジタル化が進む現代において、サイバー脅威から身を守ることは容易ではありません。包括的な多層防御セキュリティ戦略を導入し、厳格なセキュリティ基準を満たすベンダーを選択することで、企業は標的型脅威に対する防御を強化し、システムの稼働時間を最大限に確保することができます。

Moxaは、セキュア開発ライフサイクル（SDL）においてIEC 62443-4-1認証を取得した先駆的な企業の一つであり、CNA（認定CNA）にも登録されています。Moxaの目標は、お客様が安全なOTネットワークを構築できるよう支援することです。OTネットワークのセキュリティ強化をご検討ですか？最新の技術ガイド「セキュアな産業用ネットワーク構築のためのチェックリスト」をダウンロードしてください。本ガイドには、適切なネットワーク機器の選択、多層的なセキュリティ構築、効率的なネットワーク管理に関するヒントと推奨事項が記載されており、OTシステムのためのより安全なサイバー空間の構築を支援します。