OTサイバーリスク：どんなに僻地にあるサイトでも例外ではない

なぜOTのサイバーリスクが高まっているのか？

陸上や海上の掘削現場から鉱山、再生可能エネルギー施設に至るまで、エネルギー業界全体において、ほぼすべての資産が24時間365日接続された状態になっています。産業活動のオンライン化が進むにつれ、サイバー脅威も増大しています。ITシステムとOT（オペレーショナルテクノロジー）の統合が進み、メーカーはデータ収集のためにセンサーを追加しています。これにより現場の運営は改善されますが、同時にサイバー攻撃が発生する経路も増えているのです。

エネルギー事業者は、データ収集や遠隔保守のためにますます多様なツールを導入しており、これにより攻撃者に対する潜在的な脅威ベクトルが増加しているだけでなく、サードパーティのサプライチェーン攻撃のリスクも高まっています。 ハッカーは、商業的利益や悪意ある意図を問わず、エネルギー関連の標的への攻撃をますます増やしています。サイバー犯罪者は、パッチが適用されていない脆弱性を悪用し、多くの場合、ユーザーに対するフィッシングやソーシャルエンジニアリング攻撃から開始することで、ITシステムに侵入し、特にネットワークが適切にセグメント化されていない場合には、OT環境へと横方向に移動することができます。その結果、現場で働く人々の安全や環境に深刻な影響を及ぼす可能性があり、分単位で数百万ドルに及ぶ生産損失を引き起こす恐れがあります。

OT機器にはどのようなリスクがあるのでしょうか？

サイバーセキュリティは今や、物理的なセキュリティと同様に重要である。OT機器が直面するリスクは、現場の機械の制御喪失、生産の遅延や停止から、作業員や環境を危険にさらすような重大な安全問題に至るまで多岐にわたる。

多くの侵害は、悪意のある攻撃によるものではなく、感染したUSBドライブの接続や定期的な更新の見落としといった人的ミスに起因しています。これに伴い、OEM（オリジナル・エクイップメント・メーカー）が独自のファイアウォールを使用することも一般的ですが、その結果、リグの所有者はトラフィックを把握できなくなってしまいます。そのため、OEMの保証を損なうことなく強力な脅威検知・防止策を導入することが、運用上の安全性と稼働時間を維持するために不可欠なのです。

このリスクから身を守るにはどうすればよいでしょうか？

エネルギーおよび資源事業者は、資産のライフサイクル全体を通じて明確な責任分担を確立しなければなりません。

設計および建設段階において

• エンジニアリング請負業者およびOEMは、セキュリティを考慮した設計（Secure-by-Design）のアーキテクチャを提供する必要があります
• 成果物には、資産インベントリ、ゾーンおよび導管図、セキュアな構成ガイドライン、産業用システムのセキュリティ機能に関する文書が含まれます
• 製造業者は、ISA/IEC 62443に準拠したセキュア開発ライフサイクルを遵守していることを示さなければなりません

試運転期間中

• 運用者は、パッチ管理、セキュアなリモートアクセス、インシデント対応、およびサプライヤーの監督を網羅したサイバーセキュリティの保守・運用計画を作成しなければならない
• 本番稼働前には、ベースラインセキュリティテスト（侵入テスト、レジリエンス評価、フェイルオーバー演習）を文書化しなければならない

運用中

• 所有者は、資産インベントリの定期的な更新、アクセス制御の実施、リムーバブルメディアの手順、および物理的保護措置を含むサイバーレジリエンスプログラムを維持する責任を負う
• 規制当局の要件を満たすため、インシデント対応計画、サイバー演習、および従業員研修の証拠を保持しなければならない
   

自社のOT機器が安全でコンプライアンスに準拠しているかどうか、どうすれば分かるのでしょうか？

OT機器が安全かつコンプライアンスに準拠しているかどうかを知るには、可視化と検証が第一歩となります。正確な資産目録とリスク評価に基づき、運用全体にわたるすべての制御システムと接続を明確に把握し、何が最も重要で、どこに脆弱性が存在するかを明らかにする必要があります。

これを強力なネットワークセグメンテーションおよび厳格なアクセス制御と組み合わせることで、システムを隔離し安全に保つことができます。また、定期的な監査とテストにより、防御体制がISA IEC 62443、NIST 800-82、ISO 27001などの適切な基準に準拠していることを確認します。完全なコンプライアンス達成にはパートナーの協力も不可欠であるため、ベンダーや請負業者が同じセキュリティ基準を遵守していることを確認することが極めて重要です。

継続的な監視によるリアルタイムの保証があれば、運用者や所有者は、自社のOT環境が安全であるだけでなく、変化し続ける規制要件にも準拠していることを自信を持って証明できます。

これに伴い、定期的な監査、侵入テスト、または第三者による評価は、OT機器のセキュリティとコンプライアンスを維持するための鍵となります。

コンプライアンスだけで安全性は確保できるのでしょうか？

コンプライアンスはあくまで出発点に過ぎません。真のサイバーレジリエンスを実現するには、ガバナンス、テクノロジー、意識啓発を組み合わせた、継続的かつ予防的なアプローチが必要です。

所有者や運営者は、テクノロジーパートナーと連携し、ネットワークからデバイス、そして従業員に至るまで、効果的なサイバーセキュリティ対策が確実に実施されていることを保証する必要があります。OT機器に対するサイバー脅威を検知するソリューションに加え、IT/OTネットワーク間のネットワーク分離や、多層的な安全・制御対策も利用可能です。

結論として、エネルギー、再生可能エネルギー、鉱業の各セクターにおいてOTサイバーリスクが増大し続ける中、包括的なセキュリティ対策を講じ、地域および業界の規制に準拠して運用することが不可欠です。

リスクを理解し、強固な保護策を実施し、警戒を怠らないことで、所有者や運営者はサイバー脅威から事業を保護し、従業員や環境の安全性を向上させることができます。

世界的な事業展開を誇るMarlinkは、お客様が地域および国際的な規制に準拠できるよう支援する最適な立場にあります。150名を超えるサイバーセキュリティの専門家からなる当社のチームが、お客様の現場に赴き、評価、保護、そしてサイバー攻撃からの防御を支援する準備が整っています。 

石油・ガス、エネルギー、再生可能エネルギー、鉱業の各現場におけるOTシステムが規制に準拠し、適切に保護されていることを確認したいとお考えですか？当社がどのように支援できるか、ぜひ今すぐお問い合わせください。