OT(Operational Technology)とIT(Information Technology)は、近年の産業界におけるデジタル変革の二大柱です。これらは根本的に異なる目的と機能を持ちつつ、現代のビジネスと生活を支える技術となっています。
ITの特性
ITは情報技術の略で、データの生成、収集、転送、保存、処理に関わる技術を指します。その主な目的は情報の流れを最適化し、組織の効率性と効果性を高めることにあります。ITは主にビジネスプロセス、コミュニケーション、知識管理、意思決定支援などに利用されます。例えば、クラウドコンピューティング、データベース、ネットワーキング、サイバーセキュリティがITの範疇に含まれます。
OTの特性
一方、OTは運用技術の略で、物理的なデバイスやプロセスを監視し、制御する技術を指します。OTの主な目的は、生産ライン、エネルギー生成、交通システムなど、現実世界の物理的プロセスの安全性と効率性を確保することです。OTは工場の自動化、制御システム、産業機器、SCADA(監視制御とデータ取得)システムなどに使われます。
情報のCIAとAICの違い
情報セキュリティの世界では、CIA(Confidentiality, Integrity, Availability)とAIC(Availability, Integrity, Confidentiality)は共に重要な原則ですが、その優先順位が異なります。
- CIA:
- Confidentiality(機密性): 情報が承認された人々にのみアクセスされることを保証します。
- Integrity(完全性): 情報が正確で完全であり、未承認の変更から保護されていることを保証します。
- Availability(可用性): 必要な情報が必要な時に利用可能であることを保証します。
- AIC:
- Availability(可用性): このアプローチでは、情報の利用可能性が最も重視されます。
- Integrity(完全性): 情報の正確性と信頼性の保証が続きます。
- Confidentiality(機密性): このモデルでは、機密性が最後に考慮されます。
OTとIT、CIAとAICの対比表
| 分類 | OT | IT |
|---|---|---|
| 目的 | 物理的プロセスの制御と監視 | 情報の処理と通信 |
| 応用 | 工場自動化、SCADAシステム | データ管理、クラウドコンピューティング |
| 特徴 | 実世界のプロセスの効率性と安全性確保 | 情報の流れの最適化、意思決定支援 |
| 原則 | AICモデル | CIAモデル |
| 原則 | CIAモデル | AICモデル |
|---|---|---|
| 1 | Confidentiality(機密性) | Availability(可用性) |
| 2 | Integrity(完全性) | Integrity(完全性) |
| 3 | Availability(可用性) | Confidentiality(機密性) |
OTとITはそれぞれ独特の機能と目的を持ち、現代のテクノロジー駆動型社会において互いに補完的な役割を果たしています。また、CIAとAICの違いは、情報セキュリティ戦略を策定する際のアプローチに影響を与えます。
OTとITの寿命について
OT(Operational Technology)とIT(Information Technology)の寿命を比較する表を以下に示します。これらの技術の寿命は、それぞれの技術がどのように使用され、管理されるかによって大きく異なりますが、一般的な傾向を示しています。
| 特性 | OT | IT |
|---|---|---|
| 寿命 | 長期(10年以上) | 短期~中期(3~5年) |
| 更新サイクル | 遅い(設備投資が高く、物理的なプロセスに密接に結びついているため) | 速い(技術革新が迅速で、ソフトウェアの更新が頻繁に必要) |
| 耐久性 | 高い(厳しい物理的環境に耐えるよう設計されている) | 中程度~高い(使用環境によるが、一般にはOTほど厳しくない) |
| 技術進化への適応 | 難しい(変更がコスト高で時間を要することが多い) | 容易(ソフトウェアベースで柔軟性が高い) |
OTは長期間にわたって利用されることが多く、設備の更新や変更には大きな投資と時間が必要です。対照的に、ITは技術の進化が速く、ハードウェアやソフトウェアの更新が頻繁に必要とされるため、比較的寿命が短くなります。この違いは、それぞれの技術が企業や組織内でどのような役割を果たすかに基づいています。OTは物理的なプロセスの制御と運用に不可欠であり、ITは情報処理と通信に重点を置いています。OSが3〜4世代前のものが現在も動作している事も珍しくありません。そのため、ウイルス対策がなされていないことや公式なサポートが切れている場合が多いです。
次の表ではOT環境のセキュリティ対策の難しさをまとめたものです。
| 脆弱性 の要因 | OTの特徴 | ITの特徴 |
|---|---|---|
| 更新の頻度 | 更新が困難で、システムが古くなりがち。最新のセキュリティ対策を適用するのが遅れる。 | 定期的なソフトウェア更新とパッチ適用により、セキュリティを比較的容易に保持できる。 |
| セキュリティ設計 | セキュリティは後付けで、元々は閉じたシステムとして設計されていた。 | セキュリティが設計の初期段階から組み込まれており、継続的な評価と改善が行われる。 |
| 接続性 | ITシステムとの統合が進むにつれ、外部からのアクセスポイントが増え、脆弱性が露呈する。 | 元々、外部接続を前提として設計されており、適切なセキュリティ対策が施される。 |
| 運用上の要求 | 継続的な運用が必要で、ダウンタイムが許されないため、セキュリティパッチの適用が遅れることがある。 | システムのダウンタイムを計画しやすく、セキュリティメンテナンスが実施しやすい。 |
| 物理的セキュリティ | 実際の製造ラインやインフラに直結しており、物理的な脅威にさらされる。 | 主にデータと情報の管理に関わるため、物理的な脅威は比較的少ない。 |
| 専門知識 | OTセキュリティは特殊であり、この分野の専門知識が不足している場合が多い。 | ITセキュリティはより発展しており、専門の知識とリソースが豊富にある。 |
OTがITに比べて脆弱である理由を、更新の頻度、セキュリティ設計、接続性、運用上の要求、物理的セキュリティ、専門知識の観点から比較しましたが、こういったシステムはあたりまえに稼働しています。OTシステムの特性が、セキュリティリスクを高める要因となることがわかりますよね。これらの脆弱性に対処するためには、OT環境におけるセキュリティ対策の強化と、専門知識の向上が不可欠です。また、攻撃するのであれば、ITとOTを融合させた企業のOT環境を狙うのが早いというのが現在の状況です。
私が以前勤めていた会社では、毎年1回の定期的なメンテナンス期間(定修)にセキュリティ強化を行っていました。それ以外の時期は、開発やテストの段階でシステムの一貫性をチェックしながら、セキュリティ対策を継続的に研究していました。工場のシステムは特に厳しい要求があるため、セキュリティ更新(パッチ)を施すと、システムが停止することがよくありました。このパッチを本番環境に当てていたら・・・と何度も肝を冷やしたことがあります。(ちなみに復旧に6時間くらいかかりました。)これで、工場システムのセキュリティ管理がいかに難しいかがお分かりいただけると思います。セキュリティ対策についての詳細は、別の機会にお話しします。