OT/ICS Security: Protecting Industrial Control Systems
OT/ICS セキュリティの俯瞰。Purdue モデル階層分離、IEC 62443 zone-conduit、NIST SP 800-82 Rev 3、ICS マルウェア(Stuxnet / TRITON / INDUSTROYER2 / PIPEDREAM)、アノマリ検知を網羅。
article technology ja OT/ICS セキュリティの俯瞰。Purdue モデル階層分離、IEC 62443 zone-conduit、NIST SP 800-82 Rev 3、ICS マルウェア(Stuxnet / TRITON / INDUSTROYER2 / PIPEDREAM)、アノマリ検知を網羅。OT・制御システムセキュリティ(OT/ICS Security)
OT(Operational Technology)・ICS(産業制御システム)のセキュリティは、製造・エネルギー・水道・交通などの物理インフラを制御するシステムを守る分野である。IT セキュリティと異なり「可用性・安全性優先・CIA ではなく AIC」という設計思想が根底にある。情報カットオフ ~2025-08、confidence: medium 固定(2026-05 時点での外部再検証は未実施)。
OT と IT の本質的な違い
IT システムは機密性(Confidentiality)→ 完全性(Integrity)→ 可用性(Availability)の順に優先するが、OT/ICS では順序が逆転する。工場ラインや発電所が停止すれば物理的損害・人命リスクが直結するため、可用性と安全性(Safety)が最優先となる。
主要な差異を整理すると以下のようになる。
- 寿命: IT システムが数年サイクルで更新される一方、ICS の PLC(プログラマブルロジックコントローラ)や RTU(遠隔端末装置)は 10〜30 年間稼働し続けることが多い。
- パッチ困難性: リアルタイム制御要件と稼働停止コストのため、Windows XP 世代のまま脆弱性が未修正で残るシステムが珍しくない。
- リアルタイム制約: 応答時間はミリ秒単位で要求される。セキュリティツールの導入が遅延を招くなら採用されない。
- 安全計装: SIS(Safety Instrumented System)は物理的な危険状態を緊急遮断する装置であり、セキュリティと安全の二重責任を持つ。
Dragos の 2024 年報告によると、OT インシデントの 96% が IT ネットワーク経由で侵入している。エアギャップ神話を過信し IT/OT 境界を疎かにすることが最大のリスク要因の一つである。
Purdue モデル — IT/OT 境界を定義する階層構造
Purdue 参照モデル(PERA)は OT セキュリティの構造的基盤であり、現在も広く参照される(ただしクラウド接続・IIoT 環境には適用に留意が必要)。Level 0〜5 の 6 層で構成される。
| レベル | 名称 | 代表的要素 |
|---|---|---|
| Level 0 | 物理プロセス | センサ、アクチュエータ、バルブ |
| Level 1 | 基本制御 | PLC、RTU、DCS |
| Level 2 | エリア監視 | HMI、SCADA サーバ |
| Level 3 | サイト制御 | 製造実行システム(MES)、ヒストリアン |
| Level 3.5 | DMZ(非武装地帯) | IT/OT 境界、ファイアウォール、ジャンプサーバ |
| Level 4/5 | 企業 IT ネットワーク | ERP、メール、インターネット |
Level 3.5 の DMZ が IT/OT 分離の要であり、ここを越える通信を厳密に制御することが Purdue モデルの中核概念である。双方向通信を排除し一方向のみ許可する「データダイオード」もここで機能する。
ISA/IEC 62443 — 産業セキュリティの国際標準
ISA/IEC 62443 は OT セキュリティの最も包括的な国際規格群であり、zone-and-conduit 設計に基づく。
Zone(ゾーン) はセキュリティ要件が共通するデバイス・システムの論理的グループ。Conduit(コンジット) はゾーン間の通信経路であり、コンジット単位でフィルタリング・暗号化・ロギングを適用する。
セキュリティレベル(SL)は 4 段階で定義される。
- SL 1: カジュアルな攻撃者(意図的でない侵害)への対策
- SL 2: 低スキル・意図的攻撃者への対策
- SL 3: 高スキル・組織的攻撃者への対策
- SL 4: 国家レベルのアクターへの対策
IEC 62443-3-3 がシステム要件、IEC 62443-4-2 がコンポーネント要件を定める。多くの重要インフラ事業者が SL 2 を最低基準としている。
NIST SP 800-82 Rev 3 — 米国 ICS セキュリティガイダンス
NIST SP 800-82 Rev 3(ICS セキュリティガイド)は米国の ICS/SCADA セキュリティに関して最も包括的なガイダンス文書である。IT 向け NIST SP 800-53 のコントロールを OT 環境に適用するための差分・調整・除外事項を詳細に定めている。
主な対象システムは SCADA(Supervisory Control and Data Acquisition)・DCS(分散制御システム)・PLC である。ネットワーク分離、パッチ管理の特例、アカウント管理、監視・ロギングの各分野において OT 固有の実施ガイダンスを提供する。
Rev 3 では IIoT・クラウド統合・SBOM(ソフトウェア部品表)の考慮が追加されており、2023 年以降の最新 OT 環境に対応している。
産業プロトコルのセキュリティ特性
OT 環境では IT と異なる独自プロトコルが多数使用されており、多くがセキュリティを考慮せずに設計された時代の産物である。
Modbus(1979 年): 最も普及した産業プロトコルの一つ。認証・暗号化が存在しないため、ネットワーク到達可能であれば誰でもコマンドを送信できる。
DNP3: 電力・水道 SCADA で広く使われる。認証拡張(DNP3 SA)が存在するが展開率は低い。
EtherNet/IP / CIP: 認証機構は持つが、実装の多様性から設定ミスが多い。
OPC-UA: 近代的な産業通信プロトコルであり、相互認証・署名・暗号化をネイティブサポートする。IEC 62443 への準拠も設計に織り込まれており、今後の ICS 通信の標準として普及しつつある。
レガシープロトコルへの対策としては、ネットワーク分離・アクセス制御リスト・プロトコルアウェアなファイアウォール(深層パケット検査)が実用的なアプローチである。
分離アーキテクチャ — IT/OT セグメンテーション
OT セキュリティの根幹は、攻撃者が IT 側に侵入しても OT 側へ横断移動できない構造を作ることにある。
ネットワーク分離: OT 専用 VLAN・物理的なスイッチ分離・DMZ によるステートフルなトラフィック制御。IT から OT へのデフォルト拒否ポリシーを徹底する。
一方向ゲートウェイ(データダイオード): ハードウェアで物理的に受信方向を遮断する装置。OT から IT へのデータ転送のみ許可し、逆方向の通信を原理的に不可能にする。重要インフラ・高セキュリティ環境での採用が増えている。
ジャンプサーバ(踏み台): OT ネットワークへの管理アクセスを一点経由に絞り、セッション記録・MFA・特権アクセス管理(PAM)を適用する。
リモートアクセス管理: VPN だけに依存せず、MFA・アクセス制限時間・最小権限を組み合わせる。サードパーティベンダのリモートアクセスは特に管理が重要(多くの侵害がここを経由する)。
アノマリ検知と OT 専用 IDS
IT 向け IDS/IPS を OT 環境にそのまま導入することは困難である。理由は OT プロトコルの非標準性、リアルタイム制約、誤検知による生産停止リスクにある。
OT 専用のアプローチとして「パッシブモニタリング」が主流である。ネットワークトラフィックをミラーリングし、制御フローを変更することなく通信をインラインで解析する。正常状態のプロセス挙動(通信パターン・コマンド頻度・値域)を学習し、逸脱を検知する。
主要 OT セキュリティベンダには Dragos・Claroty・Nozomi Networks がある。いずれも産業プロトコルの深層解析(DPI)、資産インベントリの自動検出、脅威インテリジェンスとの照合機能を持つ。
SIEM(セキュリティ情報・イベント管理)への OT ログ統合も重要だが、OT システムがサポートするログ形式・エージェントの制約を十分に確認する必要がある。
ICS 固有マルウェア — 物理世界への攻撃
ICS を標的とした高度なマルウェアが複数確認されており、それぞれ産業制御への直接干渉を意図して設計されている。
Stuxnet(2010 年): イランの核燃料濃縮施設を標的としたワーム。Siemens PLC のコードを書き換え、遠心分離機を物理的に破壊しながら監視システムには正常を表示した。ICS マルウェアの実現可能性を世界に示した歴史的なケース。
TRITON / TRISIS(2017 年): サウジアラビアの石化プラントの SIS(安全計装システム)を標的とし、緊急遮断機能を無効化しようとした。物理的事故を引き起こすことを目的とした初の既知マルウェア。
INDUSTROYER2(2022 年): ウクライナの電力系統を標的とした ICS マルウェア。IEC 104(電力 SCADA プロトコル)を直接操作する能力を持つ。
PIPEDREAM / INCONTROLLER(2022 年): 多種の ICS 機器(Schneider Electric・OMRON・OPC-UA 対応機器)を横断操作できるマルチプラットフォームフレームワーク。CISA・NSA・FBI・DOE が共同勧告を発出した。
これらのマルウェアに共通するのは「産業プロトコルを直接操作する」設計であり、OT 専用の検知・防御が不可欠な理由を示している。
アンチパターン — よくある失敗
| アンチパターン | リスク |
|---|---|
| IT のパッチ運用サイクルを OT に強制 | 計画外停止・テスト未実施による品質問題 |
| エアギャップへの過信 | USB / リモートアクセス / サプライチェーン経由の侵入(Stuxnet が証明) |
| SIS(安全計装)のセキュリティ軽視 | TRITON 型の攻撃で物理的事故を引き起こすリスク |
| IT 由来侵入の盲点 | Dragos 2024: OT インシデントの 96% が IT ネットワーク経由 |
| OT への IT セキュリティツールのそのまま適用 | 誤検知による生産停止・リアルタイム制約への違反 |
| サードパーティリモートアクセスの野放し | 多くの実被害がベンダ用 VPN アカウント侵害から発生 |