これまで隔離されていたOTネットワークが外部とつながり始めた。可視化とセキュリティ対策は必須となるが、工場にはIT人材が不足しているうえ、本社IT部門はネットワーク構成を把握することさえ難しいという状況も珍しくない。ネットワーク設計・構築、運用保守等を提供する「BizDriveファクトリーネットワーク」を手掛けるNTT東日本 ビジネスイノベーション本部 先進事業推進部 先端技術部門 担当課長の山本圭佑氏はこう語る。
「情シスが管理するのは工場のルーターとL3スイッチまでで、その先は現場任せということが多い。ラインごとに現場担当者が手を入れてきたツギハギの状態で、レガシーOSのPCがファイアウォール(FW)もなしにインターネット接続していたりする。そうした状況から目を背けずに対策に乗り出さないと、DXは始まらない」
現場の創意工夫が逆にリスクを招くケースもあると指摘するのは、NTTドコモビジネス イノベーションセンター テクノロジー部門 担当部長の加島伸悟氏だ。「Raspberry Pi等を用いた独自ソリューションが、十分なセキュリティ対策も施されないまま導入され、脆弱性を生んでいる。外部と通信するための“野良的な入口”が現場の判断で作られてしまうのも問題だ」
こうしたOTネットワークの現状を把握し、可視化やセキュリティ対策を組み込んで再構築することは、DXやデータ活用を進めるための前提条件だ。では、どのようなステップで改革を進めていけばよいのか。
OTネットワークの改革は、大きく3ステップに整理することができる。
第1ステップは、現場の実態を把握するアセスメントである。レガシーOSの残存、境界防御の不備、持ち込み機器(非正規デバイス)の混入をはじめとするリスク要因を洗い出しながら、詳細把握に努める必要がある。
第2ステップは、リスクに対処するための具体策の検討と実装だ。
セキュアなOTネットワークの設計・構築に用いる機能は、基本的にはITネットワークと変わらない。FW、IDS(不正侵入検知システム)、エンドポイント保護(Endpoint Protection Platform:EPP)などで、それぞれOT向けの製品が登場している。
手当の優先順位は、第1ステップで見つかったリスクの危険度や、デジタル化の目的等によって異なるが、まずは端末の保護を紹介しよう。
産業用EPPは、OTの外部接続に伴って需要が拡大している領域の1つ。パッチ適用が難しいレガシーOSの保護機能や、承認済みのアプリケーションのみを実行するホワイトリストベースのセキュリティといった工場の環境に特化した機能を搭載している。
また、NTT東日本では、ネットワーク機器や端末の新規導入時や、OTネットワークへの外部端末接続時にウィルス検査を実施することで、エンドポイントの感染リスクを回避するといった対策も行っているという。