産業制御システムなどOTのセキュリティ対策が叫ばれて久しい昨今。しかし、本来OTの持つ特徴やセキュリティリスクについて、あまり理解されていないことが少なくありません。
そのような背景を踏まえ、本レポートでは、工場セキュリティの原点に立ち返り、その基本を再確認します。
なお、本レポートは全4回を予定しており、今回はその第1回として、セキュリティリスクから 「守るべき対象は何か」 について説明します。

工場セキュリティへの原点回帰として、第1回ではセキュリティリスクから守るべき対象を考察します。
そもそも何を守るのか、そこを取り違えていると対策は間違った方向へと進みます。OTではどのようなものが対象となり、どのような特徴があるのか、今一度振り返ってみましょう。

工場セキュリティの基本-1-図1

IACS(産業用オートメーション及び制御システム)とは

一般的に、ITのセキュリティで守るべき対象は「情報資産」です。情報資産とは、サーバやパソコン、ネットワークなどのコンピュータ機器、情報が記録されたデータベースや電子ファイル、紙資料。そして、近年ではクラウド化の進展で、利用する外部サービス(ストレージサービス、アプリケーションサービス等)を情報資産に含めることも増えています。
これに対して、工場・プラントなどOTのセキュリティでは、守るべき対象は何になるのでしょうか?生産プロセスを制御する産業制御システムといったイメージが強いと思います。そこで、あらためて国際規格(IEC 62443)を確認してみます。

IEC 62443は、IACS(Industrial Automation and Control System:産業用オートメーション及び制御システム)のためのセキュリティ標準です。守るべき対象はIACSなのです。そのIACSの用語の定義では、「制御プロセスの安全、セキュリティ、信頼性のある運用に作用、もしくは影響する人的資産、ハードウェア及びソフトウェアの集合体」と規定されています。
また、その概念は、「可能な限り最も広い意味で規定されており、すべての産業用及び重要基盤にあるすべてのタイプのコンポーネント、工場、設備及びシステムを含んでいる。IACSには次のものが含まれるが、これらに限定されない」との説明に続き、「分散制御システム(DCS)、プログラマブルロジックコントローラ(PLC)、監視制御及びデータ収集(SCADA)システム…(以下略)」が列挙されています。

つまり、守るべきIACSには、コンピュータシステム・ネットワークはもちろんのこと、機械設備や人・組織なども幅広く含まれると解釈できるのです。

工場セキュリティの基本-1-図2

ネットワークの構成は

・制御情報ネットワーク
上位層の「制御情報ネットワーク」は、SCADAなどITのサーバやパソコンに近いコンピュータ機器を接続します。ファイアウォールを経由して、業務系(IT)ネットワークとの接点を持つのもこのネットワークです。一般的に、ITと同様のEthernetを物理層とし、TCP/IPなどのオープンなプロトコルが用いられます。

・制御ネットワーク
続く中間層の「制御ネットワーク」は、PLCなどの制御コントローラを接続するネットワークです。高い信頼性とリアルタイム性が求められます。従来は、機器メーカの専用仕様により、リング型の2重ループでネットワークを構成することが少なくありませんでした。近年では、汎用Ethernetをベースとする構成が増えています。

・フィールドネットワーク
下位層の各種センサー(流量計、圧力計 等)やアクチュエータ(電磁弁、シリンダ等)を接続するのが、「フィールドネットワーク」です。従来、センサーやアクチュエータの1点ごとに、直流2線式の配線でコントローラへ接続していました。例えば、機械手元に100点のセンサーがあれば計200本を、数十メートル離れたコントローラへつなぐ必要がありますが、これらを機械手元からコントローラまで1本のネットワークケーブルに集約するのが、フィールドネットワークなのです。省配線化で工事コストの低減が可能になりました。

このような3階層ネットワークが、標準モデルやベストプラクティスといえるのかと言うと、実はそうではありません。確かに工場の業種業態で類似する構成はあります。しかしながら、同じ会社で同じ製品を作っていても、工場のレイアウトや機械設備、システム構成などの違いが大きく影響するため、工場によってさまざまなネットワーク構成が使用されています。

工場セキュリティの基本-1-図3

どんな特徴を持つのか

たとえば、「24時間×365日」の連続稼働が挙げられます。生産工程のウォーミングアップやシャットダウンに長時間を要するプロセスオートメーション(PA)の化学プラントでは、停止できるのは年間に数日といった高い可用性が求められます。このように、OTは可用性重視といった特徴を持つのは確かです。
ただし、必ずしもそうとは言えないこともあります。日勤帯(8~17時)で稼働する機械加工のファクトリーオートメーション(FA)などは、何か異常が発生した場合は、すぐに工程ラインを停止します。不良品を作り続けることを防ぐためです。生産効率の面から一定の可用性は必要ですが、それ以上に間違いをなくすための完全性を重視することが多いのです。

また、OTの特徴には、機械設備と同様の耐用年数を求める点が挙げられます。機械設備と一体となって制御するOTでは、10~20年といった長期間の利用が想定されるのです。しかしながら、コンピュータシステムのみITと同様のライフサイクルである3~5年でリプレイスするように、あらかじめ計画されたOTシステムも存在します。

「可用性重視」、「利用期間が長い」といった特徴はありますが、必ずしもすべてがそうではありません。自社工場の物理的・論理的な環境を十分把握して、その特徴を理解する必要があるのです。

工場セキュリティの基本-1-図4

続く第2回では、情報セキュリティ(ITのセキュリティ)との違いについて、あらためて確認を進めます。

執筆者

KPMGコンサルティング
顧問 福田 敏博 ※掲載当時

いまさら聞けない工場セキュリティの基本

関連リンク

工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。

 

お問合せ