OT-IDSで始める工場セキュリティ / Starting factory security with OT-IDS

Transcript

1. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. OT-IDSで始める工場セキュリティ 2025年7月10日

   NTTドコモビジネス株式会社 （旧NTTコミュニケーションズ株式会社） 加島伸悟

2. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 2 自己紹介

   加島 伸悟（かしま しんご） 所属・役職 NTTドコモビジネス株式会社 • イノベーションセンター テクノロジー部門 担当部長 • マネージド＆セキュリティサービス部 セキュリティ サービス部門 セキュリティ・キャンプ協議会 理事 略歴 • 広域イーサネットサービスの技術＆商用開発 • フロー監視（xFlow）の技術開発＆国際標準化 • NTTグループ全体のセキュリティガバナンス • 制御システムセキュリティの技術開発・サービス開発 • OsecTシリーズのプロダクトオーナー

3. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 3 工場のネットワーク構成

   DCS / PLC DCS / PLC 本日お話する範囲 =OT SW SW Sensor / Actuator Sensor / Actuator EWS Historian Server PC

4. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 4 工場のセキュリティ脅威

   外部からの不正アクセス マルウェア感染 情報系ネットワーク経由の 不正アクセス・マルウェア感染 リモートメンテナンス等 によるマルウェア感染 従業員のセキュリティ意識 管理されていないIT機器 可搬媒体からの マルウェア感染 VPNの脆弱性による 不正アクセス、マルウェア感染 VPN マルウェアの内部拡散 DCS PLC DCS PLC マルウエア対策のない クローズド環境の端末 管理されていないインターネット・ リモートアクセスポイント

5. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 5 製造業の被害事例

   ⚫ 制御システム(OT)のネットワーク化・デジタル化に伴い、IT環境のみならずOT環境も被害に遭う時代に ⚫ 大手企業だけではなく、サプライチェーン全体が攻撃対象に ❹ 自動車部品製造（従業員1500人） 子会社が設置したリモート接続機器の脆弱 性をつかれ侵入、感染。調査等のためにシ ステムを遮断したことにより、取引先の大 手自動車生産工場（14工場28ライン）が 停止 ❷ 自動車製造（グループ従業員20万人） EKANSまたSNAKEに感染した影響で、自 動車工場2拠点の出荷が一時停止。海外に も感染が波及し、海外9拠点の生産が1~3 日間停止。事前にネットワーク構成を把握 し、攻撃対象でしか起動しないように細工 された高度な攻撃。 ❸ 金属製品メーカ（従業員100人） PCとサーバの合計25台がAvaddonに感染。 データ復旧作業や感染経路の調査のため、 業務の完全正常化まで1ヶ月以上を要した。 感染源は外部メールの開封、外部サイトの 閲覧等と想定。 ❶ アルミニウム製造（従業員2万人） LockerGogaに感染し、一部生産、オフィ ス業務に影響。プラントは影響拡散防止の ためシステムから分離。被害は最初の1週 間で3億円以上と推定。長期間内部ネット ワークに潜伏し攻撃対象企業の記念日に起 動した高度な攻撃。 2019年 ノルウェー 2021年 日本 2020年 日本 2022年 日本

6. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 6 【参考】OTを狙ったマルウェア

   ⚫ 製造業を狙ったOT特化型マルウェアは少ない Stuxnet Triton/Trisis /HatMan Industroyer / CrashOverRide Havex BlackEnergy2,3 Irongate PLC-Blaster VPNFilter Shneider Electric製 安全計装システム Triconex 産業用 プロトコル Modbus 産業用プロトコル（電力等） IEC 60870-5-101/104 IEC 61850, OPC DA OPC Classic 産業用プロトコル EtherNet/IP等 GE製 CIMPLICITY等 Siemens製 SIMATIC WinCC/PC7, STEP 7 Snake ransomware / Ekans Honeywell製 HMI Webアプリ等 Industroyer2 INCONTROLLER/ PIPEDREAM OPC UAサーバ Schneider PLC (Modbus/Codesys) Omron PLC (HTTP/FINS) COSMICENERGY 産業用プロトコル IEC 60870-5-104 S7 Simulator S7 PLC 産業用プロトコル IEC 60870-5-104 2010 2011 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 FrostyGoop Fuxnet 産業用 プロトコル Modbus 遠隔検針用 プロトコル Meter-Bus ：悪用を確認 ：研究用途の可能性

7. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 7 ①

   OTネットワークに対する脅威対策

8. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 8 工場のセキュリティ脅威（再掲）

   外部からの不正アクセス マルウェア感染 情報系ネットワーク経由の 不正アクセス・マルウェア感染 リモートメンテナンス等 によるマルウェア感染 従業員のセキュリティ意識 管理されていないIT機器 可搬媒体からの マルウェア感染 VPNの脆弱性による 不正アクセス、マルウェア感染 VPN マルウェアの内部拡散 DCS PLC DCS PLC マルウエア対策のない クローズド環境の端末 管理されていないインターネット・ リモートアクセスポイント

9. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 9 効果的なアプローチ

   OTネットワーク可視化 OT-IDS（OTシステム向けIDS）等を用いて、OTネットワークの資産や通信を可視化し、不正 アクセスやマルウェア感染等につながるリスクを把握 セキュアネットワーク構築 不要な資産を取り除き、セキュリティポリシー策定、資産管理体制整備を実施した上で、 ファイヤウォール、UTM等でネットワーク分離、アクセス制御を行い、侵入や拡散を防ぐ OT向けセキュリティ監視 OT-IDS（OTシステム向けIDS）を用いて、OTネットワークの内部通信を監視し、不正アクセ スやマルウェア感染やそれらにつながる事象を早期に検知 同時に、資産や通信状況を確認し、ファイアウォールの設定を見直し 01 02 03

10. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 10 OTシステムとITシステムにおける要件のギャップ

    項目 制御システム（OT） 情報システム（IT） セキュリティの優先順位 追加要件 保護対象 システム更新サイクル 通信 1. 可用性（Availability） 2. 完全性（Integrity） 3. 機密性（Confidentiality） 1. 機密性（Confidentiality） 2. 完全性（Integrity） 3. 可用性（Availability） • 健康 （Health） • 安全 （Safety） • 環境 （Environment） • モノ（設備、製品）、サービス（操業） • 10～20年+ • 3～５年 • 標準通信プロトコル＋独自通信プロトコル • 平文通信・パスワード等の簡易な認証 • 標準通信プロトコル • 暗号通信・暗号技術による認証有り ｰ • データ（個人情報等） OS更新・パッチ適用 • 一般的でない • オンラインでの定期・随時更新 ウイルス対策 • 一般的でない • 端末へのアンチウイルス、EDRの導入

11. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 11 OT向けセキュリティ製品の要件とその背景

    セキュリティ対策の導入によりシステムへの影響があってはいけない 既存端末へのランサムウェア対策のソフトウェア（アンチウィルスソフト、 EDR等）の導入が難しい 脅威情報が公開されないためパターンマッチ型の脅威検知が適合しにくい 機器・端末の状態を把握していない 安定稼働最優先 最新の脅威への対応 資産管理

12. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 12 OT向けセキュリティ製品

    OT-IDS の特徴 ネットワーク型（端末導入型ではない） パッシブ型で検知まで （インライン型での遮断まではしない） ✓ 学習ベースの脅威検知 充実した可視化機能 安定稼働最優先 最新の脅威への対応 資産管理 IDS (Intrusion Detection System) 不正侵入検知システム → パッシブ型・・・OTへの適用事例が多い IPS (Intrusion Prevention System) 不正侵入防止システム → インライン型・・・ITへの適用事例が多い ミラーリング

13. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 13 OT-IDS「OsecT」

14. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 14 国産

    OT-IDS 「OsecT」 OsecT（オーセクト）は、ISP/Tier1大規模ネットワークにおけるDDoS対策で培った通信フロー解析技術や 東京2020オリンピック・パラリンピック競技大会を支えた通信インフラ向けのリスク可視化技術など、NTT 研究所の技術を基にNTTドコモビジネスが製品化したOTシステム向けIDSです。 OTネットワーク可視化 サイバー脅威の早期検知 さまざまな角度から分析した接続端末や通信をOsecT SaaS 環境のポータル画面で確認できます。 不審な端末や未知の通信などのサイバー脅威を早期に発見 し、アラートを通知します。

15. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 15 OsecTの構成

    お客様環境 スイッチ 工場（OT環境） OsecT センサー LTE スイッチ 工場（OT環境） OsecT センサー LTE OsecT SaaS環境 セキュリティ監視 Webポータル センサー LTE用USB端末 SIMカード OsecT3点セット [NEW] 国産PC Type N※1 （NEC-PF製） Type D （DELL製）

16. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 16 国産

    OT-IDS 「OsecT」の特徴 低価格な月額料金でご利用いただけます。 月額料金: 9万円/センサー 初期費用: 35万円/センサー ※月額料金には無線通信回線やポータルの利用料も含まれています。 お客様環境 スイッチ 工場A（OT環境） OsecT センサー LTE スイッチ 工場B（OT環境） OsecT センサー LTE セキュリティ担当者 データ 可視化 分析 OsecT SaaS環境 アラート通知 現状の把握 セキュア回線で データアップロード ① OT-IDSとしては廉価 ② 簡単導入 センサー機器をスイッチ等のミラーポートに接続するだけ OsecTセンサーで取得した情報のアップロードにはNTTの閉域モバイル通信を用いる ため、ネットワークの設計やVPN機器の設置は不要 センサーからSaaSへの通信は当社閉域網を利用するため、 ASM (Attack Surface Management：外部から攻撃を受ける可能性のある対象領域の管理)不要です。 セキュリティ監視状況はOsecT SaaS環境のWebポータルで確認できます。遠隔地の セキュリティ担当者が各工場を一元監視することもできます。 ③ セキュリティ管理不要 ④ SaaSによる一元管理 セキュリティ運用サポートサービスの付帯が可能です。（2025年7月提供開始） ⑤ セキュリティ運用サポートの付帯

17. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 17 特徴①

    OT-IDSとしては廉価 ⚫ 初期導入費用は海外製品の数分の一（同一台数の場合） ⚫ 小規模ネットワーク構成でも導入し易い価格設定です。 初年度（Type N） ¥1,430,000（初期：¥350,000 月額：\90,000） 初年度（Type D） ¥1,330,000（初期：¥250,000 月額：\90,000） 次年度 \1,080,000 ※1セットの税別価格 費用に含むもの ・初期：センサーHW、LTE用USB端末、SIMカード ・月額：Webポータルご利用、通信費用 費用に含まないもの ・導入支援、セキュリティ運用支援※1 等 ※1: オプションサービスとして、セキュリティ運用支援をご提供可能です

18. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 18 特徴②

    簡単導入 ⚫ センサー機器をスイッチ等のミラーポートに接続するだけ ⚫ OsecTセンサーで取得した情報のアップロードにはNTTの閉域モバイル通信を用いるため、ネットワーク の設計やVPN機器の設置は不要 ⚫ センサー機器をスイッチ等のミラーポートに接続するだけ ⚫ OsecTセンサーで取得した情報のアップロードにはNTTの閉域モバイル通信を用いるため、ネットワーク の設計やVPN機器の設置は不要 お申し込み OsecT3点セットのお受取り・開封 3点セットの接続・設置 スイッチの設定・3点セットの接続 （NTTドコモビジネスにて機器の設置を確認後、開通工事を行います。） 設定完了の確認 3点セット（センサー端末＋LTE用USB端末＋専用SIMカード）がご指 定の住所に届きます 1 5 4 3 2 シンプルなお申込書 マニュアル・お客様サポート 窓口完備！ マニュアル・お客さまサポート窓口 完備！ Webポータルにログイン センサー LTE用USB端末 SIMカード OsecT3点セット [NEW] 国産PC Type N※1 （NEC-PF製） Type D （DELL製）

19. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 19 特徴③

    セキュリティ管理不要 ⚫ WebポータルはSaaSに一元化 センサーからSaaSへの通信は当社閉域網を利用するため、 ASM（Attack Surface Management, 外部から攻撃を受ける可能性のある対象領域の管理）不要 お客様環境 スイッチ 工場（OT環境） OsecT センサー LTE OsecT SaaS環境 セキュリティ監視 Webポータル 直接閉域 接続

20. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 20 特徴④

    SaaSによる一元管理 ⚫ セキュリティ監視状況はOsecT SaaS環境のWebポータルで確認可能 ⚫ 遠隔地のセキュリティ担当者が各工場を監視することもできます A工場 LTE OsecT SaaS環境 セキュリティ監視 B工場 LTE C工場 LTE 本社セキュリティ担当者 Webポータル

21. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 21 特徴⑤

    セキュリティ運用サポートの付帯（オプション） ⚫ 重要なアラートをわかりやすくメール通知 ⚫ アラートについてのお問い合わせ対してWEBポータルにて回答 OsecT SaaS環境 セキュリティ監視 セキュリティ担当者 Webポータル ? WEBポータルで疑問点 を問い合わせして解決 アラートメール セキュリティ専門家 （NTT） 2025年7月1日から提供開始 年間費用: 1,260,000円～

22. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 22 OsecT

    機能紹介

23. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 23 端末の見える化

    ⚫ 多角的な端末の可視化や2つ期間のネットワークの構成差分の可視化によって、OTネットワーク環境を視 覚的に把握し、資産管理や新たに接続された端末の特定を行うことで、対策強化や有事の際の対応に役立 てていただけます センサーが取得したパケットから自動で端末を一覧化 表示データはCSVや画像で出力可能 端末一覧・マトリックス/ネットワークマップ 2つ期間のネットワークの構成差分を可視化 トラブルの原因・影響範囲を早期に把握 差分分析機能 端末属性の変化 （例: 利用ポートの変化） 消失端末 新規接続端末 ◯消失端末 ◯新規接続端末 左右を見比べて、端末の接続・消失、 端末属性（OS、ベンダー、役割）の変化を確認

24. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 24 台帳連携

    ⚫ 既存の資産管理ソフトから台帳データを取り込むことで、OsecTの各種機能と連携し、端末管理や不審端 末の検出時の業務の効率化に役立てていただけます 台帳情報を検知アラートや可視化機能と連携 検知アラート画面や可視化画面のIPアドレスに 端末設置場所や連絡先などの情報も併せて表示 可視化/検知アラート機能との連携 台帳情報を新規端末検知機能と連携 アラート画面に台帳有無を表示 端末情報に基づくメール通知の発出条件を設定可能 新規端末検知機能との連携

25. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 25 アセスメントレポート出力

    ⚫ ボタン一つでネットワークに接続されている資産やリスクの可視化レポートを出力、ポイントを絞ったレ ポートにより、対策強化や改善の優先順位付けや有事の際の対応に役立てていただけます レポートは編集可能なパワーポイント形式 端末や通信などの一覧情報は CSVファイル形式で一括ダウンロード可能 端末一覧・トラフィック傾向などに加えて、 平文通信、外部通信、RDP通信などリスクをレポート 発見されたリスクに対して推奨するアクションも併記 アセスメント機能 アセスメントレポートファイル アセスメントレポート.pptx

26. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 26 導入事例

    ⚫ 月額サブスク型の特徴を活かしたワンショットや定期診断用途での導入が先行 ⚫ 近年は製造業のグループ企業の常時監視用途での導入が進む 食品, グループ従業員3万人 • 四半期毎のネットワークアセスメ ントのためにOsecTを導入 電気機器, グループ従業員1万人 • セキュリティ対策が各工場任せ だったところをグループで統一 • 統一施策の手始めとして、 OsecTを使った現状把握を実施 • 情シス子会社での外販ビジネス にも活用 電機, グループ従業員3万人 • 情シス部門により定期的な資産 台帳情報提出が義務化 • 生産技術部門による資産台帳の 作成業務の効率化のためOsecT を活用 化学, グループ従業員3万人 • 手付かずだった工場セキュリ ティをトップダウンで開始 • 施策の手始めとして、OsecTを 使った現状把握を実施

27. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 27 ②

    OT向けセキュアリモートアクセス

28. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 28 工場のセキュリティ脅威（再掲）

    外部からの不正アクセス マルウェア感染 情報系ネットワーク経由の 不正アクセス・マルウェア感染 リモートメンテナンス等 によるマルウェア感染 従業員のセキュリティ意識 管理されていないIT機器 可搬媒体からの マルウェア感染 VPNの脆弱性による 不正アクセス、マルウェア感染 VPN マルウェアの内部拡散 DCS PLC DCS PLC マルウエア対策のない クローズド環境の端末 管理されていないインターネット・ リモートアクセスポイント

29. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 29 OT向けセキュアリモートアクセス（SRA）の要件

    必要なシステムにだけアクセス 必要な日時にだけアクセス 安全な通信・認証 ⚫ 最小特権の原則＝業務遂行に必要な最小限のアクセス のみをユーザーに付与すること アクセスに管理者の承認が必要 監査証跡 社員 →現地 委託業者（常駐） →現地 委託業者（リモート） → VPN（VPN装置の脆弱性リスクが高い） メーカ技術者 → LTE（工場管理者から見えない） ⚫ OT環境にアクセスするユーザと現状のアクセス手段

30. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 30 OsecT

    SRA IIJ様との協業により、セキュアリモートアクセス（SRA）とOT-IDSを一元提供 OTシステム Safous App Gateway / OsecT IDS OsecT IDS Remote Sensor 機器メンテナンス通信 メンテナンス担当者 セキュリティ担当者 Safous Global POP スイッチ ミラー トラフィック IDS Sensor 通信 PLC/RTU 等 本資料は検討中のソリューションで、実際にご提供するソリューションは内容が変更になる可能性があります。

31. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 31 OsecT

    SRA の構成 ASM（Attack Surface Management, 外部から攻撃を受ける可能性のある対象領域の管理）不要な構成 制御情報ネットワーク 制御ネットワーク フィールドネットワーク IDMZ 情報系ネットワーク HDMI/Historian PLC/RTU Sensor/Actuators Safous Internal POP Safous App Gateway / OsecT IDS OsecT IDS Remote Sensor SRA通信 SRA通信 IDS Sensor 通信 機器メンテナンス通信 社内メンテナス担当者 社内（現地）セキュリティ担当者 A社メンテナス担当者 B社メンテナンス担当者 社内（本社）セキュリティ担当者 SOC事業者分析担当者 Safous Global POP Safous Global POP ゼロトラストアーキテクチャでリモートアクセスを実現するためのアクセスポイントです。世界各国に設置されていま す。 Safous Internal POP Global POPで稼働しているPOPと同機能をお客様専用POPとしてプライベート環境に提供します。Safous Internal POP無しの構成とすることも可能です。 Safous App Gateway 制御情報ネットワーク/制御情報ネットワークへの直接的なアクセスを禁止しつつ、IDベースの安全なアクセス環境を実 現させ、アクセス行動ログを記録します。 OsecT IDS パケットデータを分析することにより、ネットワークの可視化と脅威検知を行います。 OsecT IDS Remote Sensor ネットワーク機器のミラーポートから受信したパケットから可視化・検知に必要なデータを抽出し、IDSに送信します。 SRA通信 本資料は検討中のソリューションで、実際にご提供するソリューションは内容が変更になる可能性があります。

32. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 32 OsecT

    SRA の特徴 OTシステム Safous App Gateway / OsecT IDS OsecT IDS Remote Sensor 機器メンテナンス通信 メンテナンス担当者 セキュリティ担当者 Safous Global POP スイッチ ミラー トラフィック IDS Sensor 通信 PLC/RTU 等 SRA: 安全なリモートアクセス SRAとOT-IDSの一元提供 • 可視化/脅威検知機能とリモートアクセス機能を1つのSaaSで利用可能 • SaaSのように使えるが、クラウドへのデータ蓄積なし • 予め許可されたアプリケーションに許可された権限でリモート アクセス • 細やかなアクセス権限の設定、共通パスワードの秘匿、アクセス 承認管理、操作履歴の録画保存 • 国内通信事業者2社の協業により、海外製のSRAとOT-IDSを別々に 導入するよりも安価なソリューションを実現 OT-IDS: OT可視化と脅威検知 低価格 • 可視化/脅威検知機能とリモートアクセス機能を1つのSaaSで 利用可能 本資料は検討中のソリューションで、実際にご提供するソリューションは内容が変更になる可能性があります。

33. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 33 OsecT

    SRA 2025年秋 提供開始

34. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 34 おわりに

    ⚫ 制御システムのネットワーク化・デジタル化に伴い、IT環境のみならずOT環境も被害に遭 う時代に ⚫ 大手企業だけではなく、サプライチェーン全体が攻撃対象に ⚫ OT環境のセキュリティ対策として、可視化と検知を行うOT-IDSが有効 ⚫ NTTドコモビジネスはお客様/パートナー様からの要望を取り入れながら、 OT向けIDS「OsecT」を開発、安価に提供