OT（運用技術）におけるゼロトラスト：CISAの新しいガイドラインがセキュリティアーキテクチャに求めるもの

OT（オペレーショナル・テクノロジー）におけるゼロトラストとは、産業用ネットワークにおける暗黙の信頼を排除するセキュリティアーキテクチャであり、あらゆる運用システムや物理プロセスへのアクセスを許可する前に、すべてのユーザー、デバイス、およびデータ転送について、ID、コンテキスト、リスクに基づいて継続的に検証を行うことを求めるものです。ITとは異なり、OTのゼロトラストは、継続的な運用や安全システム、あるいは最新のセキュリティエージェントを実行できないレガシー機器に支障をきたすことなく運用されなければなりません。

米国政府の5つの機関、すなわちCISA（サイバーセキュリティ・インフラセキュリティ庁）、国防総省、エネルギー省、FBI、および国務省は、産業用サイバーセキュリティに関するこれまでで最も権威ある声明「オペレーショナル・テクノロジーへのゼロトラスト原則の適用」を発表しました。そのメッセージは明確です。 ゼロトラストはもはやIT環境に限定されたフレームワークではない。現在では、電力網から水処理施設、政府施設に至るまで、OT（運用技術）システムを運用するあらゆる組織にとって、当然求められるセキュリティ体制となっている。

この記事をお読みになっているOTセキュリティの責任者の皆様にとって、問題は「ゼロトラストが正しい方向性かどうか」ではありません。問題は、政府による規制遵守や監査要件と、数十年も前の機器を稼働させている施設、手薄なチーム、そして「対策は進んでいるのか」と問う取締役会との間のギャップを、いかに埋めるかということです。本記事では、CISAガイドが各柱において実際に何を求めているのか、そしてOPSWATプラットフォームOPSWATそれらの各要件にどのように対応しているのかについて解説します。

このガイドでは、あらゆるOTゼロトラスト・プログラムが取り組むべき3つの柱として、包括的な資産可視化、堅牢なIAM（アイデンティティおよびアクセス管理）、そして予防的なサプライチェーン・リスク管理を挙げています。また、事態の緊急性を高めている攻撃主体として、CISAがOTネットワーク内に潜伏し、持続性を維持して活動開始の機会を伺っていると観測している「Volt Typhoon」のような国家支援型グループの名も挙げられています。

IT分野において、ゼロトラストはソフトウェアを通じて実現されます。具体的には、IDプロバイダー、エンドポイントエージェント、そして数時間で更新可能なアクセスポリシーなどが挙げられます。 一方、OT環境は、ITによる直接的なアプローチを不可能にする制約の下で運用されています。具体的には、最新の認証エージェントを実行できないライフサイクル20年のレガシーPLC（プログラマブル・ロジック・コントローラ）、ディスカバリパケットが予期せぬシャットダウンを引き起こす可能性のある厳格な稼働時間要件、そしてITには存在しないサイバーセキュリティと物理的安全性の直接的な関連性などが挙げられます。

CISAのガイドラインは、こうした制約について率直に述べている。老朽化した産業インフラ全体にゼロトラストを導入するには、数年を要し、多額の投資が必要となる。そのジレンマは現実のものだ。

このガイドが明らかにしているのは、脅威の状況が、そうした計画が成熟するのを待ってはくれないということです。OTシステムがITネットワークとますます相互接続され、遠隔監視されるようになるにつれ、従来の「エアギャップ」という前提はもはや成り立ちません。攻撃者はすでにその状況に適応しています。組織が今日実施する対策――たとえ段階的なものであっても――は、長期的な変革が進む中で、どの程度の攻撃対象領域がさらされるかを決定づけるものです。問題は、始めるかどうかではありません。どこから始めるか、ということです。

CISAのガイドでは、OTにおけるゼロトラストの3つの優先事項として、包括的な資産可視化、強固なIDおよびアクセス管理、そして予防的なサプライチェーン・リスク管理を挙げています。また、これらの対策が解消しようとしている脆弱性をすでに悪用している具体的な脅威アクター――Volt Typhoonや国家系グループ――についても言及しています。

OPSWATプラットフォームOPSWAT、まさにこの目的のために構築されました。デバイスに一切触れることなく、OT資産をパッシブに検出します。Hardware隔離機能により、特定の種類のリモート攻撃を物理的に不可能にします。ネットワーク、USB、データ転送など、あらゆるファイル転送ポイントでDeep CDR™テクノロジーを適用します。制御システムへの接続が確立される前に、セッションレベルでIDとアクセスの管理を徹底します。

OT環境において、アセットの可視性とは、産業用ネットワーク上のあらゆるデバイス（レガシーPLC、RTU（リモートターミナルユニット）、HMI（ヒューマンマシンインターフェース）を含む）について、ファームウェアのバージョンやプロトコルを含めた完全かつ継続的に更新されるインベントリを維持することを意味します。これには、機密性の高い制御システムに支障をきたす可能性のあるトラフィックを発生させないパッシブな監視手法が用いられます。

多くのOTセキュリティプログラムにおいて、最大の未解決の課題が存在する点がここであり、その原因は組織的なものではなく、アーキテクチャ的なものである。Industrial 、IT環境とは根本的に異なるデバイス構成を基盤として構築されている。 典型的なOTネットワークには、PLC、RTU、DCSコントローラ、センサー、リレー、HMI、エンジニアリングワークステーション、そして増加の一途をたどるIIoTデバイスが含まれており、それぞれが設計された特定のプロトコル（Modbus、EtherNet/IP、DNP3、PROFINET、OPC-UA、および数十種類の独自プロトコル）で通信を行っています。 標準的なITディスカバリツールは、これらのプロトコルを解析できません。Modbusの機能コードの意味を理解できず、DNP3のデータオブジェクトを解釈できず、EtherNet/IPの暗黙的メッセージ交換において、正常な動作と異常な動作を区別するモデルも持ち合わせていません。これらのツールがOTデバイスに遭遇すると、不完全なデータを返すか、受信デバイスが処理するよう設計されていない予期せぬトラフィックを生成してしまいます。

この2つ目の結果は、決して仮定の話ではありません。OT環境におけるアクティブスキャンは、生産施設において予期せぬプロセスの中断やデバイスのロックアウトを引き起こしてきました。そのため、CISAのガイドラインでは、OT資産の検出にはパッシブモニタリングが適切な手法であると推奨しており、稼働時間の要件が厳しい環境においては、この推奨事項は絶対的なものとなっています。 ネットワークTAPやSPANポートを介して展開されるパッシブ収集は、機密性の高い制御システムに支障をきたす可能性のあるクエリを送信することなく、トラフィックを監視します。監視対象のネットワーク上のデバイスに一切触れることなく、何が通信しているか、どのように通信しているか、そして正常な状態がどのようなものかを把握します。

このアプローチが解決すべきカバレッジの問題は、OTの通信パターンの特性によってさらに複雑化しています。多くのデバイスは、特定の運用イベント中にのみ通信を行います。例えば、PLCは生産サイクル中にのみ送信を行い、リレーは故障時にのみ報告を行い、フィールドセンサーは長い無通信期間を挟んで断続的にバースト通信を行う場合があります。 あらゆる運用モードを網羅していない監視ウィンドウでは、不完全な資産リストしか作成できません。そして、そのリストから漏れている資産こそが、保護、セグメンテーション、監視ができない資産そのものなのです。 SANSの「2025年 ICS/OTサイバーセキュリティの現状」データによると、資産の可視化は依然として産業組織にとってセキュリティ投資の最優先事項ですが、初期のネットワークアクセスから物理プロセスへの潜在的な影響に至るまで、環境全体にわたる完全な可視化を実現していると報告しているのは8社に1社未満です。このギャップは資金の問題ではありません。それは方法論の問題なのです。

Volt Typhoonは、まさにこの隙を突いてきます。このグループの手口としては、正規のプロトコル、許可された経路、標準的な管理ツールを使用し、通常のネットワーク運用に溶け込むことで、OT環境内に持続的なアクセス権を確立することが確認されています。ネットワーク上の状況や通常の動作パターンを完全に把握していなければ、こうした手口は事実上、検知できないものとなります。

OPSWAT「MetaDefender Security™」OPSWAT、パッシブな資産検出と詳細なOTプロトコル分析により、この課題に対処します。ネットワークトラフィックを生成するのではなく受信することで、本プラットフォームは監視対象のデバイスに直接アクセスすることなく、完全な資産インベントリと動作のベースラインを構築します。さらに、単一のOTネイティブインターフェース上で、脆弱性管理、パッチ管理、コンプライアンスレポート機能も提供します。これにより、異常なセッション、予期せぬデバイス間の通信、不正なプロトコル間のやり取りを、運用への影響が拡大する前に検知することが可能になります。

OT分野におけるIAMの最大の課題は、攻撃者がソフトウェアの脆弱性を悪用するのではなく、有効な認証情報、承認されたリモートセッション、標準的なエンジニアリングツールといった正当なアクセス経路をますます利用するようになっている点である。FBIとCISAが最近共同で発表した勧告で言及されたイラン系の攻撃者は、標準的な産業用通信ポートを介してインターネットに接続されたPLCに接続し、あたかも承認されたオペレーターであるかのように制御システムを操作していた。

OT環境で最も広く導入されているリモートアクセスソリューションであるVPNは、設定上の問題ではなく、構造的なリスクをもたらします。VPNはネットワークレベルでの直接接続を確立するため、パーデューモデルの階層的な分離が破られ、サードパーティベンダーが制御ネットワークセグメントに接続されてしまいます。この際、セッションのきめ細かな制御や、最小権限の原則を適用する仕組みは存在しません。 そのトンネルのベンダー側にある、侵害されたデバイスであれセキュアなデバイスであれ、生産システムへの直接的なネットワーク経路を継承することになります。ネイティブな認証機能を持たないレガシーOTエンドポイントの場合、このリスクはさらに増大します。これらのデバイスは、アクセスイベントをログに記録できず、セッションポリシーを適用できず、不正な接続を切断することもできません。何らかの強制措置が存在するとしても、それはデバイスの完全に上流に配置されている必要があり、そうでなければ存在しないも同然です。OPSWAT産業用ファイアウォールOPSWAT MetaDefender Industrial OPSWAT、このセグメンテーションの問題に直接対処します。ベンダーのセッションがすでにネットワーク内に存在している場合でも、ゾーンベースのセグメンテーションを適用し、横方向の移動を制御します。

CISAのガイドでは、この問題を放置した場合の具体的な影響が示されています。国家と結びついた脅威アクターは、ソフトウェアの脆弱性を悪用するのではなく、標準的な産業用通信ポートを介して、許可されたオペレーターと同様に接続するだけで、インターネットに接続されたPLCにアクセスし、操作を行いました。認証情報は正当に見え、プロトコルも想定通りでした。アクセス層においてセッションの正当性を評価する仕組みが何も整っていなかったため、このセッションに不審な点は一切見られませんでした。

MetaDefender OT Access 、接続がOT資産に到達する前に、セッションレベルでゼロトラストOT Access 。社内エンジニアによる接続、OEMによる定期メンテナンス、あるいは初めて接続する外部業者による接続など、あらゆるリモートセッションに対して、個別に認証を行い、必要な最小限のアクセス権限に制限し、時間制限を設け、完全にログを記録します。セッションは記録・継続的に監視され、動作が想定されたパラメータの範囲外となった場合は、リアルタイムで切断することができます。 特定のセッションで明示的に必要とされる範囲を超えて、常時有効なネットワークアクセス、永続的なトンネル、または資産への経路は一切存在しません。また、最新の認証方式に対応できないレガシーデバイスについても、MetaDefender OT Access 接続管理レイヤーで制御OT Access 、デバイス自体の機能にかかわらず、確実に制御が適用されます。

OT環境において、サプライチェーンリスクは、デジタルおよび物理的なデータ転送の両方を対象としています。具体的には、ネットワーク経由で配信されるソフトウェアの更新、現場に持ち込まれるベンダーのノートパソコン、USB 読み込まれるファームウェア、ITネットワークからエアギャップが施された制御ネットワークへ転送される設計データなどが挙げられます。これらはすべて、システムへの悪意あるコンテンツの侵入につながる可能性があり、一旦侵害されれば、物理的なプロセスに直接的な影響を及ぼす恐れがあります。

ソフトウェア成果物がOT境界に到達する前に、その完全性はすでに確認されている必要があります。MetaDefender Software Chain™は、転送チェーンのIT側においてこの課題に対処します。具体的には、ベンダーから提供されたエンジニアリングツール、ファームウェアパッケージ、産業用ソフトウェアの更新プログラムをSBOMデータと照合して検証し、転送中に成果物が改ざんされていないことを確認し、転送が許可される前に未知のコンポーネントを特定します。 ファイルがKiosk ポイントやMFT ワークフローに到達する時点で、すでにIT層での完全性チェックは完了しています。したがって、境界での制御は、これまで行われていなかった判断を補うものではなく、すでに下された決定を補強する役割を果たすのです。

これは、ネットワークベースの制御では完全に対処できない攻撃対象領域ですが、サプライヤーが内部に侵入した後は、ネットワーク層での強制措置が依然として重要な役割を果たします。MetaDefender Industrial Firewall すべてのベンダーセッションにおける実際の産業用プロトコルのペイロードを検査するためにFirewall サードパーティの接続が承認された場合でも、このファイアウォールは、コマンドがそのセッションで想定される機能コードおよび値の範囲内に収まっていることを検証し、侵害されたベンダーツールや改ざんされたアップデートからの悪意のあるコマンドをリアルタイムでブロックします。 また、厳格な通信経路を強制します。ベンダー接続デバイスは、そのアクセス範囲に指定された特定のシステムにしか到達できず、サプライチェーンの侵害をOTゾーン間で横方向に移動する前に封じ込めます。さらに、OTコンポーネントにおける既知のCVE（脆弱性）で、ベンダーパッチがまだ提供されていない場合（OT分野では数ヶ月かかることも珍しくありません）、Industrial Firewall ネットワークレベルで仮想パッチをFirewall 、デバイスに触れることなく悪用を阻止します。

OPSWAT「MetaDefender 」OPSWAT、リムーバブルメディアがセキュアゾーンに入る前に、すべてのメディアを遮断して検査します。 すべてのファイルは、30Multiscanning マルウェアMultiscanning スキャンされ、Predictive Alin AIによる実行前のゼロデイ脅威検出評価を経て、Deep CDR™テクノロジーによって処理されます。この技術は、ファイルを既知の安全な状態に再構築し、技術者が業務を行うために必要な正当なコンテンツを保持しつつ、埋め込まれた脅威を排除します。OPSWATムーバOPSWATメディアスキャン強制MetaDefender Media Firewall、この強制措置をエンドポイントレベルのUSB にまで拡張します。これにより、施設内のどこに位置していても、MetaDefender Kiosk によってすでにスキャンされ承認されたリムーバブルメディアのみが、保護されたワークステーションにKiosk 、ハードウェアベースの検証が適用されます。OPSWAT高度なエンドポイント保護ソリューションMetaDefender 、重要なエンドポイントに展開され、リムーバブルメディアデバイスからのファイルMetaDefender Kioskによって事前にスキャンおよび処理されたかどうかを検証します。これにより、検証済みのファイルのみがエンドポイントで開かれたり、コピーされたり、アクセスされたりすることが保証され、未承認または未スキャンのファイルが重要な環境に到達することを確実に阻止します。

ITからOTへ、あるいはクラウド接続システムから隔離された制御環境へと、ネットワークゾーンを越えてデータが転送される場合、OPSWATデータダイオードソリューションMetaDefender Diode™MetaDefender 、ハードウェアによって強制される一方向のデータフローを実現します。これには、ヒストリアン値、センサーテレメトリ、プロセスデータなどの運用データが含まれ、これらは監視やレポート作成のためにOTネットワークからITシステム、分析プラットフォーム、またはクラウドインフラストラクチャへと外部へ流れ出ます。 インバウンドのコマンド、接続要求、ソフトウェア更新、またはペイロードが、逆方向に境界を越えて通過することは一切できません。このセキュリティ保証は、正しい設定、定期的なソフトウェアのパッチ適用、またはアクセス認証情報の完全性に依存しません。なぜなら、これらのソフトウェア層の要因はいずれも、ハードウェアによる制約を無効にする手段を持たないからです。 アップグレードが不可能で、エンドポイントエージェントを実行できず、セキュリティ対策によるダウンタイムを許容できないレガシー制御システムを運用する組織にとって、これはCISAガイドおよび広範な産業セキュリティコミュニティが、適切な技術的解決策として合意に至ったアーキテクチャです。

MetaDefender File Transfer™ (MFT) は、完全な検査、監査ログ記録、およびワークフロー制御を伴うゾーン間の業務ファイル転送を必要とする組織の、構造化された転送要件に対応します。転送のたびにコンテンツの検証を徹底することで、ファイル転送経路自体が監視の行き届かない侵入経路となることを防ぎます。

すべての境界をポリシーだけで保護できるわけではありません。物理的な対策が必要な境界もあります。クロスドメインソリューション（CDS）は、OTネットワークとITネットワークの間にハードウェアレベルの境界を確立し、ソフトウェアの設定ミス、認証情報の盗難、ゼロデイ攻撃などによって侵入経路が開かれることを防ぎます。MetaDefender Optical Diode MetaDefender Security Gateway™Optical Diode 、いずれもコモン・クライテリアEAL4+認証を取得しており、[NERC CIP、IEC 62443、 NRC 5.71、NIST 800-82、およびISO 27001への準拠をサポートしています](opswat) — エネルギー、原子力、化学、防衛分野の重要インフラを統制する包括的なフレームワーク群です。

CISAのガイドラインは、NIST CSF（サイバーセキュリティ・フレームワーク）2.0の機能（ガバナンス、識別、保護、検知、対応、復旧）に沿ったものです。以下の表は、各要件と関連するOPSWAT を示しています：

OTにおけるゼロトラストは、単に購入できる製品ではありません。CISAのガイドラインはこの点を明確にしています。ツールや技術は必要ですが、それだけでは不十分なのです。 組織に必要なのは、可用性、安全性、コンプライアンスが絶対条件となる環境向けに構築されたプラットフォームです。OPSWAT PlatformOPSWAT、初期アクセスが始まる受信トレイから、重要システムへのコマンドが終了するハードウェアによる境界に至るまで、CISAの要件の全範囲にわたってそのアーキテクチャを実現します。

上の表が示すように、OPSWAT NIST CSF 2.0の全6つの機能にわたる、CISA準拠のすべての制御カテゴリを単一のプラットフォームでOPSWAT 。これは、OTに特化したベンダーでは実現できない広範な対応範囲です。御社のOT環境がCISAのゼロトラストフレームワークに対してどの程度対応できているか、評価してみませんか？

専門家に相談する →