製造、エネルギー、交通、上下水道などの重要インフラは、デジタル化と接続性の向上によって生産性を大きく高めてきました。一方で、IT(情報システム)とOT(制御・運用技術)の融合は、サイバー攻撃の影響範囲を「情報漏えい」から「操業停止」「品質不良」「安全リスク」へと拡張しています。いま求められているのは、侵入を完全に防ぐという発想だけでなく、攻撃や障害が起きても重要機能を維持し、素早く復旧できる“回復力(レジリエンス)”を備えたデジタルインフラです。
なぜ今「回復力」が重要なのか
従来のセキュリティ対策は、境界防御やパッチ適用、マルウェア対策など「侵入を防ぐ」ことに重心が置かれていました。しかし現実には、ゼロデイ脆弱性、サプライチェーン侵害、認証情報の窃取、正規ツールの悪用などにより、侵入を100%防ぐことは困難です。さらにOT環境では、停止できない設備、長寿命の機器、検証に時間を要する変更管理などの制約があり、ITと同じ速度でアップデートや刷新を進められないケースが少なくありません。
このギャップを埋める鍵が、回復力のあるデジタルインフラです。具体的には、攻撃を前提に「耐える」「限定する」「復旧する」能力を設計段階から組み込み、システム全体としての継続性と安全性を高めます。重要インフラにおいては、稼働率や生産量だけでなく、人命や環境への影響、社会的信頼の維持まで含めたレジリエンスが経営課題になります。
OTを狙う攻撃の現実とリスクの広がり
OT領域への攻撃は、ランサムウェアによる操業停止だけではありません。設定改ざんによる品質異常、センサー値の偽装による誤判断、遠隔保守経路の悪用、エンジニアリング端末の侵害、さらには安全計装系を含む重大インシデントへ発展するリスクもあります。IT側で発生した侵害が、ネットワークの不適切な分離や共有認証情報を介してOT側へ波及するパターンも典型的です。
加えて、設備のスマート化に伴い、データ収集基盤、産業用エッジ、クラウド分析、デジタルツインなどが連携することで、攻撃対象領域(アタックサーフェス)は確実に拡大しています。守るべき対象が「PLCやSCADA」だけでなく、「可観測性の基盤」「アイデンティティ」「ソフトウェア更新の仕組み」「サプライヤーの接続」まで広がっている点を見落とすべきではありません。
回復力のあるデジタルインフラの設計原則
回復力を実装するには、技術だけでなく運用・組織・調達を含む全体設計が必要です。重要となる原則を整理します。
可視化と資産管理を起点にする
OTでは「何がどこにあり、どう接続され、どのバージョンで動いているか」が把握できていないことが多く、対策の優先順位付けが難しくなります。受動型のネットワーク監視や構成管理を活用し、資産台帳、通信フロー、リスクの高い経路(遠隔保守、共用サーバ、レガシープロトコル)を明確にすることが第一歩です。
ゾーン分割と最小権限で“被害を限定”する
OTセキュリティの要は、ネットワークを機能単位で分割し、通信を必要最小限に制御することです。IT/OT境界の防御だけでなく、OT内部も工程・ライン・セル単位でゾーン化し、許可されたプロトコル・宛先のみ通す設計にすることで、侵害時の横展開を抑えられます。同時に、アカウント権限、サービス権限、機器の操作権限を最小化し、特権アクセスの監査を可能にします。
安全なリモートアクセスとサードパーティ管理
設備ベンダーや保守会社の遠隔接続は不可欠ですが、攻撃者にとっても魅力的な入口です。VPNの共有アカウントや恒常的な接続許可は避け、短時間・申請制のアクセス、強固な認証、操作ログの保全、ジャンプサーバ経由の接続などで統制します。契約面でも、セキュリティ要件、通知義務、ログ保持、脆弱性対応SLAを明確化し、サプライチェーンリスクを管理します。
バックアップと復旧手順を“実行可能な形”にする
ランサムウェア対策としてバックアップは定番ですが、OTでは「復旧できるバックアップ」であることが重要です。PLCプログラム、HMI/SCADA設定、レシピ、エンジニアリングプロジェクト、証明書や鍵、ライセンス情報など、復旧に必要な要素を整理し、オフライン保管や改ざん耐性を確保します。さらに、復旧手順を机上で終わらせず、停止許容範囲に合わせた演習(リハーサル)を行い、復旧時間目標と現実のギャップを埋めます。
脆弱性管理を“現場制約に合わせて最適化”する
OT機器はパッチ適用が難しい場合があります。その際は、リスク評価に基づいて代替統制(ネットワーク制限、仮想パッチ、アプリケーション制御、監視強化)を組み合わせ、計画停止のタイミングで確実に更新する戦略が現実的です。重要なのは「未対応のまま放置」ではなく、既知リスクを把握し、補完策とロードマップを持つことです。
ゼロトラストはOTでも有効か
ゼロトラストは「常に検証し、最小権限でアクセスさせる」考え方であり、OTでも方向性として有効です。ただし、すべてを即座にITと同じ方式へ置き換えるのは困難です。OTでは、装置間通信の固定性、リアルタイム性、レガシープロトコルの制約があるため、まずは境界の厳格化、特権アクセスの制御、デバイスの信頼性評価、監視の強化など、適用しやすい領域から段階的に進めるべきです。
特に、アイデンティティ(人・端末・サービス)を軸にアクセスを管理し、通信の正当性を継続的に検証する仕組みは、侵害の早期検知と横展開の抑止に直結します。
規格・ガイドラインと整合した実装が近道になる
重要インフラのセキュリティは、個別最適ではなく標準に沿った整合性が求められます。OTでは、産業用制御システムのセキュリティに関する枠組み(例:ゾーンとコンジットの考え方、セキュア開発、運用プロセス)に合わせ、技術対策を運用と結びつけることが効果的です。監査可能な形でポリシー、設計、運用手順、教育、ログ管理を揃えると、対外的な説明責任にも耐えやすくなります。
経営が押さえるべきKPIと投資判断
レジリエンスは「セキュリティ部門だけの取り組み」ではなく、操業と安全を守る経営テーマです。投資判断では、次のようなKPIが有効です。
- 重要資産の可視化率(台帳整備、通信フロー把握)
- ゾーン分割の達成度と、未許可通信の削減
- 特権アクセスの棚卸し・多要素認証の適用率
- バックアップの復旧テスト実施率、復旧時間の実測
- 脆弱性のリスク受容判断の明文化、代替統制の適用率
- インシデント対応訓練の頻度、初動時間の短縮
重要なのは、セキュリティ投資を「事故が起きたら困るから」だけでなく、「停止時間の削減」「品質・安全リスクの低減」「サプライチェーン信頼の向上」といった事業価値に変換して評価することです。
回復力の実装に向けた現実的ロードマップ
多くの現場では、レガシー資産や停止制約により、一気に理想形へ到達することはできません。そこで、段階的なロードマップが有効です。
- 短期:資産・通信の可視化、遠隔接続の統制、バックアップ整備、ログ収集の開始
- 中期:ゾーン分割の拡張、特権管理、脆弱性管理プロセスの定着、復旧演習の定例化
- 長期:セキュアバイデザインでの更新・更改、OT向けSOC運用、サプライチェーン要件の高度化
このロードマップを、現場の保全計画・更新計画と同期させることで、コストと停止影響を抑えながら確実に成熟度を高められます。
まとめ:安全な明日のために、止めない設計へ
デジタル化が進むほど、重要インフラの価値は「つながること」によって高まります。しかし同時に、攻撃や障害の影響は拡大し、操業・品質・安全に直結します。回復力のあるデジタルインフラは、侵入防止だけでは埋められない現実のリスクに対し、被害を限定し、早期に復旧し、学習して強くなるための基盤です。
可視化、分離、最小権限、統制されたリモートアクセス、実効性あるバックアップと復旧、現場制約に合った脆弱性管理。これらを技術・運用・組織で一体化し、継続的に改善することが、安全な明日を支える最短距離になります。