産業および製造現場では、ICS(Industrial システム)が広く導入されていますが、これらのシステムは安全性、決定論的な出力、稼働時間を重視して設計されており、サイバー攻撃への耐性は考慮されていません。PLC、HMI、ヒストリアン、分散制御システムは、多くの場合、24時間365日稼働しており、稼働停止を許容することはできません。
一方で、メーカー各社は、OTデータをITおよびSOCプラットフォームと統合し、遠隔からの可視化、診断、さらには機密ネットワークへのアクセスを可能にするため、全工場にわたる一元的な監視体制の構築を迫られています。こうした融合は、ゾーン間の境界においてリスクをもたらします。
IEC 62443などの規格では、セグメンテーションの失敗は単なるデータ漏洩にとどまらず、直接的に運用リスクにつながると想定されています。OT環境において、サイバーインシデントは様々な壊滅的な結果をもたらす可能性があります。 生産停止は最も一般的な事例の一つです。2021年のコロニアル・パイプラインに対するランサムウェア攻撃では、米国最大の精製燃料パイプラインが6日間にわたり停止を余儀なくされ、17州で燃料不足が発生し、大統領による非常事態宣言が発令されました。また、2019年のノルスク・ハイドロに対するLockerGoga攻撃では、40カ国にわたるアルミニウムの自動生産が停止し、7,000万~8,000万ドルの損害が発生しました。
設備への被害もまた現実のものだ。2014年にドイツの製鉄所に侵入した攻撃者は、社内ネットワークから生産制御システムへと侵入経路を転換し、高炉の安全な停止を妨げた。その結果、甚大な物的損害が発生した。これは、Stuxnetに次いで、物理的損害をもたらしたことが確認された2例目のサイバー攻撃である。
安全上のインシデントは、最も憂慮すべきカテゴリーである。2017年にペトロ・ラビグ社を標的としたマルウェア「TRITON」は、人命被害を引き起こすことを目的として設計された最初のマルウェアと広く見なされているが、このマルウェアは設定ミスのあったファイアウォールを悪用して安全計装システムに侵入し、コーディングミスによって攻撃が失敗していなければ、有毒な硫化水素の放出や爆発を引き起こす可能性があった。
環境および公共の安全への影響は、2025年にポーランドのエネルギー部門で発生したサイバー攻撃のような事例からも明らかです。この攻撃では、攻撃者がHMIデータを破壊し、OTファームウェアを改ざんし、施設と送電網運営者間の監視・制御機能の喪失を引き起こしました。さらに重要なことに、一部の地域ではIEC 62443規格が法規制に組み込まれています。例えば、EUのNIS2指令では、ISA/IEC 62443が産業インフラの主要なコンプライアンス枠組みと見なされているEUのNIS2指令では、重要事業体に対し最大1,000万ユーロまたは世界年間売上高の2%の罰金が科されるほか、経営幹部の個人責任も問われる。つまり、いかなる不適合状態も、重要事業体にとって重大な金銭的・法的結果を招く可能性があり、経営幹部の個人責任も問われることになる。
こうしたリスクを軽減するために、産業用ファイアウォールやVLANベースのセグメンテーションがしばしば採用されていますが、それらは運用担当者にとって大きな課題ももたらしています。これらのソリューションは、システムの長いライフサイクルを通じて設定が正確であることに厳密に依存している一方で、レガシーなOTプロトコルのサポートが常に利用できるとは限らず、十分な認証や検証機能が欠如していることも少なくありません。また、ファイアウォールの性質上、双方向通信が許可されるため、マルウェアが信頼された戻り経路を通過してしまう可能性があります。
論理的なセグメンテーションは有効ですが、物理的な分離を強制するものではありません。ITネットワークや外部ネットワークからOTゾーンへの通信が開始可能になると、同時に重大なリスクが生じます。マルウェアがITシステムから生産システムへと侵入し、監視用通信経路を悪用して、侵害された認証情報を使って制御トラフィックを送信することで、セグメンテーションを迂回する可能性があるからです。
IEC 62443では、ゾーンは強制力のある通信経路によって保護されなければならないと明記されています。データダイオードは物理層で一方向通信を強制するため、こうした要件を満たすための「ファストパス」として優れた選択肢となります。つまり、ソフトウェアの状態や侵害の有無にかかわらず、データは下位レベルのOTゾーンから外部へ送信することはできますが、逆方向への送信は不可能です。これは、明確なゾーン境界、決定論的な通信経路、およびセキュリティレベル間の暗黙の信頼の排除という、IEC 62443の原則を直接的にサポートするものです。
データダイオードを使用することで、メーカーは、制御ゾーンへのインバウンドトラフィックを許可することなく、生産指標のエクスポート、ヒストリアンの複製、アラームやログのストリーミング、および集中監視のサポートを行うことができます。これにより、パート3-2で定義されているセキュリティリスク評価のプロセスが円滑化されます。
セキュリティレベルに関するパート3-3をさらに読み進めると、設計アーキテクチャにおけるダイオードの採用は、SR 5.2「ゾーンおよび導管境界の保護」、SR 5.1「ネットワークのセグメンテーション」、SR 3.1「通信の完全性」、およびSR 7.6「可用性のためのネットワークのセグメンテーション」と強く関連しています。 ダイオードは、システムやネットワークへの物理的および論理的なアクセスを制限することで攻撃対象領域を縮小するだけでなく、ネットワークをセグメント化し、それらの間のトラフィックを確定的に制御します。これにより、メーカーは大規模な再構築を行うことなく、最も重要でありながら変更不可能なネットワーク境界の一部に新たな保護層を挿入することで、多層防御手法を採用することが可能になります。
この変化は、論理的なセグメンテーションから物理的な強制へと移行するものです。可視性は維持される一方で、制御権は共有されません。
これにより、制御システムを隔離した状態を維持しつつ、外部へのデータ送信を監視し、ゾーン境界を迂回することを不可能にします。セキュリティの観点から見ると、これによりインバウンド攻撃の経路を遮断し、横方向の移動リスクを低減するとともに、設定ミスやプロトコルの悪用に対する優れた保護機能を提供します。
このアプローチを採用することで、メーカーはリアルタイム制御への影響やレガシープロトコルのセキュリティへの依存なしに業務の継続性を確保し、安定的かつ予測可能な運用を維持することができます。また、IEC 62443のゾーンおよびコンダクト要件への準拠に向けた道筋を明確にし、文書化と検証を簡素化するとともに、正当性が証明可能で再現性のあるアーキテクチャにより、十分な準備態勢を整えることができます。
ゾーンの分離を「想定」ではなく「強制」しなければならない産業環境において、ハードウェアによる強制的な一方向データ転送ソリューションの導入がますます進んでいます。 MetaDefender Optical Diode は、ルールやポリシーではなく、インバウンドトラフィックを伝送できる光パスを物理的に遮断することで、保護されたネットワークへのあらゆるリターンパスを物理的に阻止します。
MetaDefender Optical Diode などのソリューションは、業務に支障をきたすことなく、産業用グレードで規格に準拠した絶縁機能を実現するようにOptical Diode 。
