OT環境において、Secure アクセスが困難な理由
最大のリスクは、リモートアクセスそのものではなく、ユーザーがOTネットワーク内に侵入した後の管理と可視性の欠如であった
OT環境におけるリモートアクセスのサポートは、本質的に複雑な課題です。現代の接続性を想定して設計されていないレガシー制御システムを保護しつつ、稼働時間、安全性、速度のバランスを取るための手段が必要でした。社内のエンジニアや外部ベンダーは、設定、保守、インシデント対応のために頻繁にアクセスする必要がありましたが、OT環境への接続が増えるたびに、攻撃対象領域も拡大していました。
OTネットワークにおいてVPNや汎用リモートアクセスツールが機能しない5つの理由
この公益事業会社は、従来のVPNや汎用的なリモートアクセスツールに依存しており、それによってネットワークレベルの信頼関係が機密性の高いOTゾーンにまで拡大されていた。接続されると、ユーザーは必要な範囲を超えて広範な可視性とアクセス権限を持つことが多く、セキュリティチームが容易に封じ込めたり監視したりできないリスクが生じていた。
5つの主要な課題
- 過度なアクセス権限:VPN ベースの接続において、ユーザーを特定の OT アセットや画面に限定するのではなく、広範なネットワークアクセスが許可されていた
- セッションの可視性が限定的:セキュリティチームは、アクティブなRDPセッション中にユーザーが何を行っているかを確認できず、リアルタイムで介入することもできませんでした
- 横方向の移動リスク:一度侵入されると、ユーザーはOTセグメント間を移動する可能性があり、影響範囲が拡大する恐れがある
- ファイアウォールのポートを開放:インバウンドアクセスの要件により、重要インフラに恒常的な脆弱性が生じた
- 監査とコンプライアンスの負担:誰がどのシステムに、どのくらいの時間、どのような操作を行ったかを証明するには、手作業による対応と断片的なログが必要だった
事業および業務への影響
- SCADA、DCS、HMI、およびPLC環境に対するサイバーリスクの高まり
- メンテナンス期間中やインシデント発生時には、アクセスに関する回避策が必要となるため、対応に時間がかかる場合があります
- CISOに対し、より強力な管理体制と監査対応体制の整備を求める圧力が高まっている
- リモートアクセスが最小権限の原則に沿っているという確信が薄れた
Secure リモートアクセスソリューションには、どのような機能が必要か?
RDPへのアクセスが必要でしたが、 OTネットワークを リスクを伴わずに、RDPアクセスを必要としていました。
この公益事業会社は、最小権限の原則を徹底し、外部からの攻撃リスクを排除し、業務の遅延を招くことなく完全な監査機能を確保できる、OT(オペレーション技術)専用のリモートアクセスソリューションを必要としていました。セキュリティチームとOTチームは早い段階で、リモートアクセスはOTネットワーク自体への信頼を拡大することなく、日常的なエンジニアリング業務を支援しなければならないという明確な原則で合意しました。どのようなソリューションであれ、デフォルトでサイバーリスクを低減しつつ、複数の拠点で業務を行うエンジニア、オペレーター、および外部ベンダーにとって実用的なものでなければなりませんでした。
Core
VPN ベースのアクセスを安全に置き換えるため、このユーティリティでは以下の基準を定めた:
- きめ細かなRDP制御:ネットワーク全体への可視性や無制限の権限を付与することなく、エンジニアがWindowsベースのHMIや診断ツールにアクセスできるようにする
- 最小権限の徹底:ユーザーは、明示的に承認された資産のみを表示・操作でき、横方向への移動はできないようにする
- 強力な監査追跡性:すべてのセッションはログに記録され、必要に応じて記録され、特定のユーザー、資産、および時間枠と紐付けられなければならない
- インバウンドファイアウォールの開放なし:OTネットワークへのポートを開放することなく、リモートアクセスが機能しなければならない
- OT環境への適合性:ソリューションはレガシーシステムに対応し、アーキテクチャの変更を最小限に抑え、導入時のダウンタイムを回避できるものでなければならない
彼らが避けようとしたこと
これまでの経験から、同社が二度と繰り返したくないことが明確になった:
- OT向けに転用された汎用ITリモートアクセスツール
- ネットワークレベルでのアクセスにより、影響範囲が拡大した
- 断片的なログを用いた手動監査の準備
- 保守作業やインシデント対応の遅延を招いたセキュリティ対策
経営陣にとっての転機は、リモートアクセスそのものが問題ではないと気づいたことでした。問題は、アクセス権限の付与、適用、および監視の方法にあったのです。
ネットワークを外部に公開せずにOTシステムへのSecure する方法
転機となったのは、業務に支障をきたすことなく、ネットワークアクセスから管理されたセッションへの移行を実現したことでした。
この公益事業会社は、ネットワークレベルのアクセスから、ポリシーに基づいて制御されるセッションベースのRDP接続へと移行することで、OT環境へのリモートアクセスに伴うリスクを低減し、運用管理を強化しました。これにより、OT環境へのリモートアクセスは、設計上、管理・監査が可能かつ隔離されたものとなりました。エンジニアやベンダーは、広範なOTネットワークを露出させたり、ファイアウォールの受信ポートを開放したりすることなく、必要な時に必要なシステムにのみ接続できるようになりました。
彼らはどのようにしてそれを成し遂げたのか
同公益事業会社は、OT環境向けに特別に設計されたセキュアなリモートアクセスゲートウェイとして、MetaDefender Access™を導入しました。このプラットフォームは、VPNアクセスを制御ネットワークにまで拡張するのではなく、業務上の役割に合わせて最適化された厳格な可視化機能とポリシー制御により、セッションレベルのアクセス制御を実施しました。
ソリューションの5つの重要な要素
- OTシステムへのきめ細かなRDPアクセス
エンジニアには、承認済みのWindowsベースのHMI、エンジニアリングワークステーション、または診断システムへのRDPアクセスのみが許可されました。各セッション中に許可される操作はポリシーで定義されており、誤用や不注意による変更のリスクを低減しました。 - 可視範囲の制限と最小権限の適用
ユーザーは、自分に明示的に割り当てられた資産のみを表示・操作することができました。OTネットワークを閲覧したり、システム間で横方向の移動を行ったりする機能はありませんでした。 - 送信専用セキュア接続
OTアクセスゲートウェイは送信専用のTLS接続を確立したため、ファイアウォールの受信ポートを開く必要がなくなり、重要インフラの攻撃対象領域を縮小することができました。 - セッションの監視、ログ記録、および録画
すべてのリモートセッションはログに記録され、必要に応じて録画されました。OTチームおよびセキュリティチームは、ライブセッションを監視したり、後でアクティビティを確認したりすることで、監査や調査を支援することができました。 - OT環境へのSecure 転送
設定ファイル、スクリプト、またはパッチが必要となった場合、ファイル転送には管理型ファイル転送機能とマルチエンジンマルウェアスキャンが統合されており、悪意のあるコンテンツがOTシステムに侵入するのを防いでいます。
なぜこのアプローチが成功したのか
OTチームに業務方法の変更を求めるのではなく、このソリューションは運用上の現実に適応しつつ、バックグラウンドで透明性を持ってセキュリティ制御を実施しました。アクセスはもはやネットワークへの信頼に基づくものではなく、定義された役割とポリシーに基づいて承認されたユーザーによるものとなりました。
「リスクの高いアクセス」から「測定可能な管理」へ
リモートアクセスは、避けられないリスクから、管理された運用機能へと変化した
同社はOTリモートアクセスに対する実質的な運用管理権限を獲得し、リスクを低減すると同時に、監査、保守、インシデント対応をより迅速かつ予測可能なものにしました。この運用改善の効果は即座に現れ、セキュリティ、OT、コンプライアンスの各チームで明確に確認されました。リモートアクセスはもはや死角ではなくなり、管理された反復可能なプロセスへと変貌を遂げました。
業務の改善
- OT環境への露出を低減:アウトバウンド専用のTLSトンネルを活用してインバウンドのファイアウォールポートを排除し、外部からの攻撃対象領域を縮小
- アクセス管理の強化:エンジニアやベンダーは承認されたシステムにのみアクセスし、横方向の移動は一切行われなかった
- 監査の効率化:セッションログと録画により、手作業による証拠収集が不要に
- インシデント対応の強化:チームは、セキュリティ対策を緩めることなく、期限付きのアクセス権を迅速に付与できるようになります
チームへの影響
- セキュリティチームは、リモートアクセスが「最小権限の原則」および「ゼロトラスト」のアクセス制御方針に沿っているという確信を得た
- OTチームは、アクセス例外の対応に費やす時間を減らし、システムの保守に費やす時間を増やした
- 経営陣は、稼働時間に影響を与えることなく、リモートアクセスに伴うリスクが適切に管理されているという確信をより強く持つことができた
リモートOT Access導入前と導入後
以前 | その後 |
VPNを利用したネットワークアクセス | セッションベースのRDPアクセス |
接続すれば広く見える | 承認済みの資産とのみ視界が確保されていること |
活動の可視性が限定的 | セッションの完全なログ記録と録画 |
ファイアウォールの受信ポートを開く | 送信専用セキュア接続 |
手動監査の準備 | デフォルトで監査対応のアクセス記録 |
拡大するOT環境全体へのSecure 拡大
事業規模の拡大に伴い、公益事業者はどのようにして安全なOTリモートアクセスを拡張していけばよいのでしょうか?
管理されたOTリモートアクセス環境が整備されたことで、同公益事業会社は、安全なRDPアクセスを拡大し、RDPセッションのログや記録をより広範なセキュリティ運用に統合する体制が整いました。同公益事業会社が業務の近代化とデジタル化を推進するにつれ、リモートアクセスの要件は、その量と範囲の両面で拡大していくと見込まれています。同組織は、新たな単体ソリューションを導入するのではなく、一貫性を維持し、運用上の複雑さを軽減するため、既存のアクセス制御基盤を基盤として活用していく方針です。
検討中の事業拡大の機会
- OT資産全体でのRDP対応範囲の拡大
ヒストリアンサーバー、エンジニアリングワークステーション、エッジコントローラーなどの追加のWindowsベースのシステムに対しても、最小権限の原則と視界内(LoS)要件の適用を維持しつつ、安全なRDPアクセスを拡張します。
- セキュリティ運用のさらなる統合
RDPセッションのログや記録をSIEMおよびSOARプラットフォームと関連付けることで、調査時のコンテキスト情報を充実させ、インシデント対応を迅速化します。
- 今後のデジタルイニシアチブへの対応
同一のアクセスフレームワークを活用して、クラウドホスト型分析プラットフォームやOTデジタル化ゲートウェイへの接続を保護し、アーキテクチャの進化に伴いポリシーの一貫性を確保します。
アクセスと保証のギャップを埋める
重要な業務を守るのは、接続性ではなく、アクセス制御である。
OTリモートアクセスを見直すことで、同公益事業会社はサイバーリスクを低減し、監査対応体制を強化するとともに、重要インフラを損なうことなくエンジニアが効率的に業務を行えるようにしました。MetaDefender OT Accessすることで、同組織はネットワークレベルの信頼関係から、ポリシーに基づいた管理されたRDPセッションへと移行しました。
リモートアクセスは、運用上の負担を増やすことなく、隔離され、監査可能となり、最小権限の原則に沿ったものとなりました。その結果、稼働時間の確保、コンプライアンスの遵守、そして長期的な運用のレジリエンスを支える、より安全で予測可能なリモートアクセスモデルが実現しました。
まとめ
- OTリモートアクセスは、運用を支援するためにリスクを拡大させる必要はありません
- セッションベースの制御は、ネットワークレベルの信頼関係よりも強固なセキュリティを実現します
- アクセスがデフォルトで記録・管理されるようになると、監査対応体制が強化されます
- 専用に設計されたOTアクセスソリューションは、ITツールを流用したものよりも拡張性に優れている
SCADA、DCS、HMI、その他のOTシステムへのリモートアクセスを保護する際、リスク、可視性、コンプライアンスに関する同様の課題に直面している場合は、OPSWAT にご相談ください。MetaDefender OT Access 、お客様のOT接続環境の近代化にどのようにOT Access 説明いたします。
