—·
全てのコンテンツはAIによって生成されており、誤りが含まれる可能性があります。ご自身でご確認ください。
CISAの指針により、OTにおけるゼロトラストは「推奨」から「強制」へと移行しています。リアルタイム制御を妨げずにID境界を再設計し、アクセスを検証し、ラテラルムーブメントを阻止する実効的なアプローチを解説します。
産業環境のオペレーターは、常に板挟みの状態にあります。ビジネスITで有効なIDシステムは、OT(運用技術)環境では往々にして「粗すぎる」ためです。OTでは、安全性計装機能やリアルタイムの制御ループが、「セキュリティ対策」によって中断されるリスクがあります。これらは元来、レイテンシ、可用性、決定論的な挙動を考慮して設計されていないためです。
この課題への答えは、また別の「ゼロトラスト」というスローガンを唱えることではありません。OTの境界でIDとアクセスを検証し、セグメンテーションによって範囲を厳格に限定し、エンジニアリングワークステーション、ヒストリアン、安全システム、そしてネットワークの他の部分間での横展開(ラテラルムーブメント)を確実に阻止する仕組みを構築することです。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、公開ガイダンスを通じてこの「境界とアクセスへの集中」を強く推奨しています。これは、米国国立標準技術研究所(NIST)がエンタープライズシステム全体のセキュリティ制御をフレームワーク化する手法とも一致します。具体的には、アクセス制御や監査といったシステムレベルの管理と、リスク管理を通じたプログラムレベルのガバナンスを組み合わせるものです。オペレーターにとって、ゼロトラストを「調達のチェックリスト」ではなく、「ID境界の強制力を持つプレイブック」として扱うことが重要です。 (Source) (Source) (Source)
OT環境は多くの場合、エンジニアリングワークステーション、プログラマブルロジックコントローラ(PLC)、リモートターミナルユニット(RTU)、ヒストリアン、HMI/SCADAシステム、ベンダー用保守ツールといった多様な機器が混在する「パッチワーク」状態にあります。問題は攻撃者が侵入することだけではありません。有効な認証情報と脆弱な信頼前提を悪用して、「何ができるか」が脅威なのです。一度内部の到達可能なマシンに侵入すれば、攻撃者は特別なエクスプロイトを使わずとも、多くの制御システムへと容易にピボット(転移)できてしまいます。
ゼロトラストは、根底にある信頼モデルを根本から変えるものです。平易に言えば、「内部アクセスは安全であるという前提を捨て、誰が、何が許可されているかを継続的に検証する」ということです。OTにおいて、この検証はログイン時の一回限りではなく、アクセス時のIDおよびデバイスのコンテキストに基づいて行われなければなりません。NIST CSF 2.0は、ガバナンス、検知、対応の結果を制御の実装に結びつけており、NIST SP 800-53はアクセス制御の期待値を測定可能な形で整理しています。 (Source) (Source) (Source)
CISAのランサムウェア対策ガイダンスは、境界およびアクセスに焦点を当てた防御策を繰り返し推奨しています。ランサムウェア攻撃者は、認証情報の使用、サービス悪用、リモート経路を通じて初期侵入を収益化するためです。運用の要諦は、ITとOTが接する部分での「暗黙の信頼」を減らし、特権的な操作やリモートセッションを制限して、それらがラテラルムーブメントの足掛かりにならないようにすることにあります。 (Source) (Source)
IDを「一度限りのログイン問題」と見なすのはやめましょう。IDとアクセス検証を、OT境界を保護するための強制レイヤーとして計画してください。エンジニアリング、コマンド操作、データフローに影響を与えるあらゆるアクセスパスに対し、ID・デバイスの状態・セッションコンテキストに基づいて承認を行い、その上で濫用を監視・記録してください。
ID境界の不備は、多くのOT展開における失敗の原因です。よくあるパターンとして、エンタープライズディレクトリ(ADなど)でラップトップのユーザーを認証し、同じIDでOTのジャンプポイントやエンジニアリングステーション、ベンダーツールにアクセスできてしまうケースが挙げられます。これはネットワークが許可的であるために起こる事象であり、ID境界を崩壊させ、「ユーザーが有効である」という事実を「どこでも暗黙的に信頼される」という危険な状態に変えてしまいます。
オペレーターは、上位のディレクトリサービスが共通であっても、ITとOTのIDゾーンを分離することで境界を再構築できます。具体的には、明確なOTアクセスブローカー、アクセス強制ポイント、そしてIDをOTの役割にマッピングするルールを定義します。この「アクセスブローカー」を接続パスの中間に配置し、セッションの許可可否、権限の範囲、および監視方法を決定させます。
CISAのガイダンスは、侵害された認証情報による被害範囲(ブラスト半径)を抑え、攻撃者が再利用しがちな経路を制限することを強調しています。ID境界の実装において重要なのは、ITネットワークからフラットなルーティングや広範なファイアウォールの許可リストを経由して、OTアクセスに到達させないことです。セグメンテーションを活用し、OTアクセス検証のための専用経路のみを存在させるようにしましょう。 (Source) (Source)
ITとOTを個別の信頼ドメインとして扱い、それぞれに強制力を持たせてください。OTへのアクセスは、OT専用のアクセスパスを経由させ、エンジニアリングや制御システムへの接続が許可される前に、IDとセッション権限が評価される仕組みを導入しましょう。
セグメンテーションとは単なる「ポリシーの柵」ではなく、経路、プロトコル、到達可能なサービスに対する設計上の制約です。ゼロトラストの観点では、セグメンテーションは攻撃者が侵入した後の行動範囲を制限する役割を果たします。OT環境においては、リアルタイムサービスの安定性を損なうことなく、エッジでポリシーを強制するためにも不可欠です。
ラテラルムーブメントを防ぐには、セッションを「必要最小限」に絞り込むことが重要です。アクセス検証では、接続の可否だけでなく、「そのセッションで何ができるか」を判断する必要があります。「セッションスコープ」を設定し、対話型の保守セッションを、対象システム、ポート、コマンドの限定された範囲に制限してください。これはOTにおいて非常に重要です。ベンダーツールはトラブルシューティング時に広範な機能を必要とすることがありますが、攻撃者が足掛かりを得た場合、その機能は極めて危険な武器に変わるからです。
OT機能への到達経路を基点にセグメンテーションを設計し、特権セッションや保守セッションを必要な対象と権限のみに絞り込んでください。攻撃者が認証情報を盗んだとしても、セグメンテーションとセッションのスコープ制限が、侵害が制御プレーンの問題へと拡大するのを防ぐ最後の砦となります。
OTの制約は現実的な問題です。多くのエンジニアは、認証やフィルタリングを強化すればエンジニアリングのワークフローが中断されたり、許容できない遅延が発生したりすると懸念します。アクセス検証は、決定論的な制御ループを妨げない場所に実装しなければなりません。これは「希望的観測」ではなく、境界テスト計画によって検証可能です。
「ポリシー決定ポイント」と「制御トラフィックのパス」を分離することから始めましょう。セッション開始時や機密性の高いアクション実行時にIDと権限を承認し、テレメトリや制御パケット一つ一つに対して検証を行うことは避けます。具体的には以下のような対策が有効です。
・セッション境界での検証:OTアクセスブローカーやジャンプホストへの接続時に、オペレーターの認証(および可能な場合はエンドポイント/サービスの状態検証)を行う。 ・アクション境界での承認:コントローラの構成変更、PLCプログラムのダウンロード、ファームウェア更新、ヒストリアンクエリなど、機密性の高い操作に対してのみ、ブローカーまたはジャンプホストによる承認を必須とする。 ・時間的制約のあるトラフィックへのインライン検査回避:制御ループの高速パス上でのプロトコル検査やパケット再構成、対話型の「再認証プロンプト」は避け、対象外の範囲を明確に文書化する。
技術的な受け入れ基準を事前に定義してください。例えば、ポリシーワークフローには「レイテンシ予算」(ミリ秒単位ではなく秒単位)を、制御プレーンには「ジッター予算」(定常状態ではジッターを一切追加しない)を設定します。その後、制御テストで検証します。通常の制御ループ負荷をかけた状態でブローカーを経由した特権セッションを実行し、スキャンサイクル時間やウォッチドッグの挙動、コントローラのCPU使用率が許容範囲内に収まるかを測定してください。
IDとアクセス検証は、プロセス制御の高速パス内ではなく、OTセッション境界および特権ワークフローに実装してください。計測結果に基づき、通常のスキャンサイクルとジッター指標が運用許容範囲内に収まっていることをエンジニアリングチームが承認するプロセスを確立しましょう。
ゼロトラストプログラムは、インシデント対応や安全に関わる変更作業中に、迅速かつ一貫性のある「証拠」を提示できるようになった時、初めて現実のものとなります。「ログが存在する」だけでは不十分です。有事の際に「誰が行動したか」「何を許可されていたか」「強制ポイントによって実際に何が許可・拒否されたか」という3つの問いに答えられる必要があります。
NIST CSF 2.0は、リスク管理と継続的な改善を継続的な取り組みとして位置づけています。OTオペレーターは、IDとアクセス検証の成功を、測定可能なカバレッジと整合性の目標として定義すべきです。
・承認カバレッジ:アクセスブローカーやOT強制ポイントを介して行われた特権的なOTアクションの割合。 ・決定ログの完全性:ID、タイムスタンプ、対象システム、要求されたアクション、承認結果(許可/拒否)、ポリシーIDを含む、アクセス決定記録の網羅性。 ・整合性と継続性:ログ書き込みの欠落率、および「フェイルクローズ(失敗時に遮断)」か「フェイルオープン(開放)」かの挙動の文書化とテスト状況。 ・境界テストの結果:ITユーザーセグメントや侵害されたアカウントからの、許可されていない到達試行がポリシーに基づいてブロックされた数。
IDとアクセス検証を、カバレッジと決定ログの品質指標を用いて測定可能にしてください。誰が・何を・いつ行い、どのようなポリシー判断が下されたかを再構築できるログを要求し、定期的な境界テストを実施してセグメンテーションの挙動を確認してください。
ランサムウェアが依然として最大の脅威である理由は、ゼロトラストが本来防ぐべき弱点(認証情報の悪用、不十分なセグメンテーション、特権アクセスの制御不足)を突くためです。CISAのランサムウェアガイドは、現場のオペレーターに向けて実用的なコントロールを提示しています。
OTのアーキテクチャはサイトごとに異なりますが、強制すべき期待値は常に一定です。「誰が接続でき、何ができ、どこからアクセスしているか」をセッションレベルで可視化し、制限することです。また、脅威状況を把握するために、ENISAの脅威ランドスケープ(2025年版など)を活用して、攻撃者の技術を優先順位付けの判断材料として活用してください。
IDとアクセス検証を「抽象的な近代化プロジェクト」ではなく、「ランサムウェアに対するコア防御」として扱ってください。インシデントの圧力下でもログを収集し、テストし、防御できる強制ポイントを中心に、人員配置と変更管理を構築しましょう。
OTのID近代化において最大の運用リスクは、「完璧なアーキテクチャを目指して停滞すること」か、「過度な制限をかけて可用性を損なうこと」のどちらかです。段階的な強制、明確なロールバック経路、測定可能な受け入れ基準を用いた計画を立てましょう。
・第1フェーズ(1〜4週目):OTアクセスパスの棚卸しと特権アクションの分類。OTのID境界を定義し、役割ごとの「許可」の定義と、ブローカーによる監視対象を決定する。 ・第2フェーズ(5〜8週目):セッションスコープによるアクセス検証とセグメンテーション強制ポイントの実装。特権セッションをアクセスブローカー経由に強制し、ログを出力させる。CISAのガイダンスに基づいた境界テストを実施する。 ・第3フェーズ(9〜12週目):運用準備状況テストの実施。セグメンテーションが未承認の到達を阻止できているか、特権セッションが制限されているかを確認する。結果をNIST CSF 2.0のフレームワークに紐付け、監査人や経営陣に可視化する。
90日間の強制先行型ロールアウトをコミットしてください。OT境界でのID・アクセス検証、特権セッションのスコープ制限、監査可能な意思決定ログの収集を完了させましょう。その後の数四半期で、NIST SP 800-53の更新に基づいた定期的な制御マッピングの見直しを制度化し、ゼロトラストが単なる記述ではなく、常に強制された状態を維持してください。