工場を守るセキュリティ対策

工場を守るためにはまず、資産の可視化が重要になります。可視化できなければ、どういう経路で攻撃されるのかが判断できないため、適切な対策ができません。

可視化ができた後は、ネットワークの分離（セグメンテーション）が重要になります。万が一侵入された場合でも、深いエリアまでの侵入を防ぐことで被害を最小化できます。

可能であればより細かいネットワークの分離（マイクロセグメンテーション）や、認証、暗号化を備えたプロトコルへの移行により、よりセキュアなOT環境を構築することができます。

・マイクロセグメンテーション

ネットワークの分離によっていくつかの区画（セグメント）に分けた後、各区画内での通信に厳密なルールを設けることでセキュリティをより強化します。

従来のファイアウォールなどでは、区画間の通信制御が主であり、一度侵入されると同一区画内での横展開を防ぐことが難しいという問題がありました。

これに対し、マイクロセグメンテーションでは、PLCやHMI、SCADAなどの制御機器間において、どの機器がどの機器に対して、どのプロトコル・コマンドで通信できるかを細かく制御します。

マイクロセグメンテーションの実現手法には、ルーターやスイッチ等の境界機器を用いた「ネットワークベース」と、EDR等のエージェントを用いた「ホストベース」の2つのアプローチがあります。 工場等のOT環境においては、レガシーシステムが残存していることや、安全性・可用性の観点からエージェントの導入が困難なホストが多いため、ネットワークベースによる制御が一般的となっています。