見えない脅威を見える安心に！製造業・社会インフラを守るOTセキュリティ / Visualize Invisible Threats! OT Security to Protect Manufacturing and Social Infrastructure

Transcript

1. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 見えない脅威を見える安心に！ 製造業/社会インフラを守るOTセキュリティ

   2025年11月19日 NTTドコモビジネス株式会社 （旧NTTコミュニケーションズ） 石禾里帆

2. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 1 石禾里帆

   いさわりほ 所属 NTTドコモビジネス イノベーションセンター テクノロジー部門 ソフトウェアエンジニア 略歴 2024年4月 イノベーションセンター着任 内製サービスOsecTのソフトウェア開発に従事 専門 ソフトウェア開発 プライバシ研究

3. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 2 制御システム(OT)を取り巻く環境と

   サイバー攻撃

4. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 3 Operational

   Technology (OT) とは ⚫ 製造業、エネルギー、重工業、建物、公共事業、輸送、医療、放送などの産業分野において、設備・シス テムを最適に動かすための技術 ⚫ 情報技術（Information Technology, IT）と対比されることが多い 製造業 エネルギー（電力システム等） 重工業 建物 公共事業（水道等） 輸送 医療 放送

5. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 4 制御システム（OT）を取り巻く環境

   サプライチェーン Io T O T I T リモート保守 クラウ ド 制御システムの外部との接続が急増 サイバーリスクも増大 例: センサー/アクチュエータ、PLC、システム全体の停止・誤作動 制御システムのサイバーリスクが 事業に影響を与える事例も

6. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 5 製造業への攻撃事例

   | ランサムウェア感染 ⚫ 制御システム(OT)のネットワーク化・デジタル化に伴い、IT環境のみならずOT環境も被害に遭う時代に ⚫ 大手企業だけではなく、サプライチェーン全体が攻撃対象に 自動車部品製造（従業員1500人） 子会社が設置したリモート接続機器 の脆弱性をつかれ感染。調査等のた めにシステムを遮断したことにより、 取引先の大手自動車生産工場（14工 場28ライン）が停止 （2022年@日本） 自動車製造（グループ従業員20万人） EKANSまたSNAKEに感染した影響 で、自動車工場2拠点の出荷が一時 停止。海外にも感染が波及し、海 外9拠点の生産が1~3日間停止。 （2020年@日本 ） 金属製品メーカ（従業員100人） PCとサーバの合計25台がAvaddon に感染。データ復旧作業や感染経 路の調査のため、業務の完全正常 化まで1ヶ月以上を要した。 （2021年@日本） アルミニウム製造（従業員2万人） LockerGogaに感染し、一部生産、 オフィス業務に影響。プラントは影 響拡散防止のためシステムから分離。 被害は最初の1週間で3億円以上と 推定 （2019年@ノルウェー）

7. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 6 OTシステム向けセキュリティ製品の要件

8. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 7 OTシステムとITシステムにおける要件のギャッ

   プ 項目 制御システム（OT） 情報システム（IT） セキュリティの優先順位 追加要件 保護対象 システム更新サイクル 通信 1. 可用性（Availability） 2. 完全性（Integrity） 3. 機密性（Confidentiality） 1. 機密性（Confidentiality） 2. 完全性（Integrity） 3. 可用性（Availability） • 健康 （Health） • 安全 （Safety） • 環境 （Environment） • モノ（設備、製品）、サービス（操業） • 10～20年+ • 3～５年 • 標準通信プロトコル＋独自通信プロトコル • 平文通信・パスワード等の簡易な認証 • 標準通信プロトコル • 暗号通信・暗号技術による認証有り ｰ • データ（個人情報等） OS更新・パッチ適用 • 一般的でない • オンラインでの定期・随時更新 ウイルス対策 • 一般的でない • 端末へのアンチウイルス、EDRの導入

9. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 8 制御システム向けセキュリティ製品の要件

   セキュリティ対策の導入によりシステムへの影響があってはいけない 既存端末へのランサムウェア対策のソフトウェア（アンチウィルスソフト、 EDR等）の導入が難しい 安定稼働最優先 最新の脅威への対応 資産管理 脅威情報が公開されないためパターンマッチ型の脅威検知が適合しにくい 機器・端末の状態を把握していない

10. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 9 制御システム向けセキュリティ製品

    OT-IDS 安定稼働最優先 ✓ ネットワーク型（端末導入型ではない） ✓ パッシブ型（インライン型ではない） ✓ 検知まで（遮断まではしない） 最新の脅威への対応 ✓ 学習ベースの脅威検知 資産管理 ✓ 充実した可視化機能 IDS (Intrusion Detection System) 不正侵入検知システム → パッシブ型・・・OTへの適用事例が多い IPS (Intrusion Prevention System) 不正侵入防止システム → インライン型・・・ITへの適用事例が多い ミラーリング

11. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 10 マクロな資産管理：端末管理

    ⚫ 脆弱性対応や攻撃対応には端末情報が最新化された台帳が必須 ⚫ IT、OT問わずネットワークに繋がる全ての端末（仮想端末を含む）を資産管理システムに登録 ⚫ 膨大な端末を手作業で管理するのは現実的ではない

12. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 11 OTシステム向けIDS

    「OsecT」

13. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 12 国産

    OT-IDS 「OsecT」 OsecT（オーセクト）は、ISP/Tier1大規模ネットワークにおけるDDoS対策で培った通信フロー解析技術や 東京2020オリンピック・パラリンピック競技大会を支えた通信インフラ向けのリスク可視化技術など、NTT 研究所の技術を基にNTTコミュニケーションズが製品化したOTシステム向けIDSです。 OTネットワーク可視化 サイバー脅威の早期検知 さまざまな角度から分析した接続端末や通信をOsecT SaaS 環境のポータル画面で確認できます。 不審な端末や未知の通信などのサイバー脅威を早期に発見 し、アラートを通知します。

14. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 13 OsecTの構成

    お客様環境 スイッチ 工場（OT環境） OsecT センサー LTE スイッチ 工場（OT環境） OsecT センサー LTE OsecT SaaS環境 セキュリティ監視 Webポータル センサー LTE用USB端末 SIMカード OsecT3点セット [NEW] 国 産PC Type N※1 （NEC-PF製） Type D （DELL製）

15. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 14 OsecTの特徴

    OT-IDSの基本機能である「OTネットワークの可視化」「サイバー脅威の早期検知」を具備しながら、 他のOT-IDSにはない特徴があります。 お客様環境 スイッチ 工場A（OT環境） OsecT センサー LTE スイッチ 工場B（OT環境） OsecT センサー LTE セキュリティ担当者 データ 可視化 分析 OsecT SaaS環境 アラート通知 現状の把握 セキュア回線で データアップロード ① OT-IDSとしては廉価 ② 簡単導入 ③ セキュリティ管理不要 ④ SaaSによる一元管理 ⑥ セキュリティ運用サポートの付帯 ⑤ 国産・内製開発 トラフィック コピー トラフィック コピー

16. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 15 特徴①低価格！OTシステム向けIDSとしては廉価

    ⚫ 初期導入費用は海外製品の数分の一（同一台数の場合） ⚫ 小規模ネットワーク構成でも導入し易い価格設定です。 初年度（Type N） ¥1,430,000（初期：¥350,000 月額：\90,000） 初年度（Type D） ¥1,330,000（初期：¥250,000 月額：\90,000） 次年度 \1,080,000 ※1セットの税別価格 費用に含むもの ・初期：センサーHW、LTE用USB端末、SIMカード ・月額：Webポータルご利用、通信費用 費用に含まないもの ・導入支援、セキュリティ運用支援※1 等 ※1: オプションサービスとして、セキュリティ運用支援をご提供可能です

17. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 16 特徴②

    簡単導入 ⚫ センサー機器をスイッチ等のミラーポートに接続するだけ ⚫ OsecTセンサーで取得した情報のアップロードにはNTTの閉域モバイル通信を用いるため、ネットワーク の設計やVPN機器の設置は不要 お申し込み OsecT3点セットのお受取り・開封 3点セットの接続・設置 スイッチの設定・3点セットの接続 （NTTドコモビジネスにて機器の設置を確認後、開通工事を行います。） 設定完了の確認 3点セット（センサー端末＋LTE用USB端末＋専用SIMカード）がご 指定の住所に届きます 1 5 4 3 2 シンプルなお申込書 マニュアル・お客様サポー ト窓口完備！ マニュアル・お客さまサポート窓 口完備！ Webポータルにログイン センサー LTE用USB端末 SIMカード OsecT3点セット [NEW] 国 産PC Type N※1 （NEC-PF製） Type D （DELL製） ※1 センサーHWのライナップ追加予定（2025年7月1日）

18. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 17 特徴③

    セキュリティ管理不要 ⚫ WebポータルはSaaSに一元化 センサーからSaaSへの通信は当社閉域網を利用するため、 ASM（Attack Surface Management, 外部から攻撃を受ける可能性のある対象領域の管理）不要 お客様環境 スイッチ 工場（OT環境） OsecT センサー LTE OsecT SaaS環 境 セキュリティ監視 Webポータル 直接閉域 接続

19. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 18 特徴④

    SaaSによる一元管理 ⚫ セキュリティ監視状況はOsecT SaaS環境のWebポータルで確認可能 ⚫ 遠隔地のセキュリティ担当者が各工場を監視することもできます A工場 LTE OsecT SaaS環境 セキュリティ監視 B工場 LTE C工場 LTE 本社セキュリティ担当者 Webポータル

20. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 19 特徴⑤

    国産・内製開発 NTTドコモビジネスの内製開発により機能開発を行なっているため、お客様/販売パートナー様の要望を取り 込みやすい お客様環境 スイッチ 工場A（OT環境） OsecT センサー LTE スイッチ 工場B（OT環境） OsecT センサー LTE セキュリティ担当者 データ 可視化 分析 OsecT SaaS環境 アラート通知 現状の把握 セキュア回線で データアップロード OsecTセンサー • アプリケーションソフトウェア：国産（NTTドコモビジネス内製開発） • ハードウェア: 国産 OsecT SaaS環境 • アプリケーションソフトウェア：国産（NTTドコモビジネス内製開発） 閉域モバイル回線もNTTドコモビジネスの商材を活用

21. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 20 特徴⑥

    セキュリティ運用サポートの付帯（オプ ション） ⚫ 重要なアラートをわかりやすくメール通知 ⚫ アラートについてのお問い合わせ対してWEBポータルにて回答 ⚫ OsecTのレポートをお客様に代わり毎月出力しメールで通知する と同時に、直近のセキュリティ時事情報や注目すべきニュースも 合わせてお届け OsecT SaaS環境 セキュリティ監視 セキュリティ担当者 Webポータル ? WEBポータルで疑問点 を問い合わせして解決 アラートメール セキュリティ専門家 （NTT） 2025年7月1日から提供開始 年間費用: 1,260,000円～

22. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 21 低価格*

    *税別価格 アラート通知 状況の確認 ⚫ 生産現場の業務を妨げることなく、制御系システムにおけるリスクを可視化しサイバー脅威・脆弱性（セキュリティホー ル）を検知することで、早期にリスク感知できる状態を作り、工場停止による損失を未然に防ぐことができます OsecTの概要 工作機械 工作機械制御用PC 工作機械制御用PC PC お客さま拠点 サーバー 工場（OT環境） 事務所（IT環境） PC • 初期費用：350,000円/台 • 月額料金： 90,000円/台 簡単導入 P.9 • マニュアルにそって設定す るだけ • OsecTセンサーで取得した 情報は閉域モバイル通信で アップロードされるため、 既存LANへの変更は最小限 （スイッチにおけるミラー ポートの作成のみ） 制御系システムへの 影響なし • コピーしたトラフィック データを監視 • 既存機器へのソフトウェア のインストール不要 スイッチ OsecT センサーなど トラフィック コピー インターネット お客さま （IT担当者） 見える化 P.10,11 • 端末 • ネットワーク 予防/早期発見 P.13,14 • 学習と分析による サイバー脅威/脆弱性の検知 安全 • OsecTセンサーからのデー タ転送は暗号化され閉域網 を介して実行 Webポータル画面 OsecT SaaS環境

23. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 22 OsecT

    機能紹介

24. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 23 センサーが取得したパケットから自動で端末を一覧化

    表示データはCSVや画像で出力可能 端末一覧・マトリックス/ネットワークマップ 2つ期間のネットワークの構成差分を可視化 トラブルの原因・影響範囲を早期に把握 差分分析機能 端末属性の変化 （例: 利用ポートの変化） 消失端末 新規接続端末 ◯消失端末 ◯新規接続端末 左右を見比べて、端末の接続・消失、 端末属性（OS、ベンダー、役割）の変化を確認 ⚫ 多角的な端末の可視化や2つ期間のネットワークの構成差分の可視化によって、OTネットワーク環境を視覚的に把握し、 資産管理や新たに接続された端末の特定を行うことで、対策強化や有事の際の対応に役立てていただけます 見える化（端末の管理に！）★

25. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 24 ネットワークの負荷（使用帯域）を可視化

    ループ等による帯域圧迫を早期に発見 トラフィック可視化機能 接続端末数/トラフィック量が多い端末を一目で把握！ OTネットワークの傾向を把握！ ランキング機能 ⚫ 端末やサービスの利用トラフィック量、接続端末数などの傾向の可視化、ネットワークにおける影響度の高い端末を特定 することで、対策強化や有事の際の対応に役立てていただけます 見える化（ネットワークの管理に！）★

26. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 25 台帳情報を検知アラートや可視化機能と連携

    検知アラート画面や可視化画面のIPアドレスに 端末設置場所や連絡先などの情報も併せて表示 可視化/検知アラート機能との連携 台帳情報を新規端末検知機能と連携 アラート画面に台帳有無を表示 端末情報に基づくメール通知の発出条件を設定可能 新規端末検知機能との連携 ⚫ 既存の資産管理ソフトから台帳データを取り込むことで、OsecTの各種機能と連携し、端末管理や不審端末の検出時の業 務の効率化に役立てていただけます 台帳連携（端末管理やアラート対応の効率化に！）

27. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 26 ネットワーク内の端末・通信情報を自動で学習！

    野良端末や未知の通信を見逃さずに早期に発見！ 新規端末/IP通信検知機能 サポート切れのOSを利用する端末を自動検出！ アップデート対応漏れを防止！ 脆弱端末検知機能 ⚫ 新たに接続された端末、未知の通信、サポート切れのOSを使っている端末などを検知・アラート通知することで、お客 さまでのリスク対処や予防対応につなげていただけます 予防（リスク対処・予防対応に！）★

28. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 27 端末ペア毎に定常業務のトラフィック量を学習！

    曜日や時間帯毎の閾値を自動で算出！ IP流量検知機能 定常業務では利用しないOTコマンドを検知 ! CVE 等の既知シグネチャーにマッチした通信を検知！ OT振舞検知機能/シグネチャー検知機能 ⚫ マルウェア感染等の異常が発生した場合、その挙動（トラフィック量の増加や、定常業務でなかった通信の発生など）を 検知・アラート通知することで、お客さまでの早期対応・影響の極小化につなげていただけます 早期発見（異常を早期に発見するために！）★

29. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 28 ⚫

    ボタン一つでネットワークに接続されている資産やリスクの可視化レポートを出力、ポイントを絞ったレポートにより、 対策強化や改善の優先順位付けや有事の際の対応に役立てていただけます アセスメント（全体像を把握して改善するために！）★ レポートは編集可能なパワーポイント形式 端末や通信などの一覧情報は CSVファイル形式で一括ダウンロード可能 端末一覧・トラフィック傾向などに加えて、 平文通信、外部通信、RDP通信などリスクをレポート 発見されたリスクに対して推奨するアクションも併記 アセスメント機能 アセスメントレポートファイル アセスメントレポート.pptx

30. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 29 連携機能のご紹介

31. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 30 パトライト連携機能

    ⚫ OsecTからアラートが発出された際パトライトを光らせて即時対応 接続端末が検知 されました IP統計が検知 されました 光ったり 音を鳴らした り OsecTコア

32. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 31 SaaS版

    OsecT+パトライトの仕組み お客様環境 スイッチ ビルA（OT環境） OsecT センサー LTE スイッチ ビルB（OT環境） OsecT センサー LTE セキュリティ担当者 データ 可視化 分析 OsecT SaaS環境 アラート通知 現状の把握 セキュア回線で データアップロード LTE LTE パトライト パトライト ⚫ 基本構成はSaaS版と同様 ⚫ センサーとパトライト両方 にLTEで通信 ⚫ 新規検知があった際には SaaS環境からLTEを通じて HTTPリクエストを発信し、 パトライトを点灯 無線のため新 しくNWへの 接続不要

33. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 32 OsecTの構成

    お客様環境 スイッチ 工場（OT環境） OsecT センサー LTE スイッチ 工場（OT環境） OsecT センサー LTE OsecT SaaS環境 Webポータル セキュリティ監視 本社のセキュリティ担当

34. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 33 OsecTの構成

    お客様環境 スイッチ 工場（OT環境） OsecT センサー LTE スイッチ 工場（OT環境） OsecT センサー LTE OsecT SaaS環境 Webポータル セキュリティ監視

35. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 34 OTセキュリティ4STEP

36. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 35 OTネットワークの課題を解決する4ステップ

    OTネットワークの可視化 ・OTネットワークで取得した通信パケットをレポート化。 ・サイバーリスクから保護すべき資産、ネットワークの情報など、セキュリティ対策に必要な基本情報を提供します。 OTネットワークのセキュリティ管理規程整備 ・OTネットワークセキュリティにおける共通管理ルールを明文化しセキュリティガバナンス※1強化を図ります。 ・文書化は、既存（IT）のネットワーク管理規程、各種セキュリティガイドライン、STEP1で検出されたセキュリティ課題などを ベースに実施します。 セキュアなOTネットワークの構築 ・OTネットワークのセキュリティ改善（IT/OTネットワークの分離、セグメンテーション※2、マルウェア検知 など） を実施します。 OTネットワークのセキュリティ監視 ・STEP3で導入したセキュリティ製品（UTM※3,IDS※4等)を監視対象としたセキュリティ監視サービスを導入します。 ・IT/OTネットワークの境界FW、OT向けのIDS、セグメンテーションで導入したUTMなどが監視対象となります。 STEP1 STEP2 STEP3 STEP4 ※１：企業経営において公正な判断・運営がなされるよう、監視・統制する仕組み ※２：ネットワークを用途別などより小さな独立した単位に分割すること ※３：ファイアウォール、アンチウイルス、アンチスパムなどの機能を集約したネットワーク装置 ※４：不正侵入検知システム

37. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 36 工場に流れる通信をキャプチャすることにより資産一覧を作成するとともに以下のようなセキュリティの問題点を明らかにします。

    ①サポート切れOSが搭載されている端末の存在 ②管理外端末のネットワークへの接続 ③不要な通信の存在 ④外部からの不正アクセス など 制御情報ネットワーク 情報ネットワーク DCS PLC DCS PLC 制御ネットワーク フィールドネットワーク ①Windows7など ②管理外端末の接続 ③不要な通信 ④外部からの 不正アクセス STEP1：OTネットワークの可視化 セキュリティガイドラインの該当箇所 3.1.4 保護対象の整理（工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0） ID.AM-1:資産一覧が組織で管理され更新されている ID.AM-3:組織の承認された通信、社内外の通信のデータフローの維持(NIST CSF2.0) STEP1 可視化 STEP2 規定策定 STEP3 構築 STEP4 監視

38. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 37 STEP1（OTネットワーク可視化）により判明したセキュリティ課題に対して、セキュリティ管理規程が未策定の場合は国内外で普及している

    セキュリティガイドラインをベースにOTシステムの運用実態に合ったセキュリティ管理規程を作成します。 セキュリティガイドラインの該当箇所 ３.1.1(3)内部要件/状況の整理（工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0） GO.PO-1/2:サイバーセキュリティリスクを管理するためのポリシーが組織にもとづいて確立され、更新されている(NIST CSF2.0) STEP1 可視化 STEP2 規定策定 STEP3 構築 STEP4 監視 STEP2：OTネットワークのセキュリティ管理規程整備 STEP2の実施フロー例 ① セキュリティ管理規定を策定する対象を選定（例：ネットワーク管理基準） ② 参照ガイドラインなどの確認 ③ セキュリティ関連文書レビュー（文書構成、記載粒度などの確認） ④ DRAFT版の作成 ⑤ レビュー/修正（複数回） ⑥ セキュリティ管理規定の完成

39. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 38 セキュリティガイドラインの該当箇所

    3.2.2(1)システム構成面での対策（工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0） PR.IR-1:ネットワークと環境は管理外アクセスや利用から保護する(NIST CSF2.0) STEP１・2で明らかになった課題に対してネットワークでの対策を設計、構築します。 STEP3：セキュアなOTネットワークの構築 見つかった課題の例 ITとOTがネットワーク的に分離できておらず セキュリティインシデント時の影響拡大の懸念 OTネットワーク内の細分化ができておらず マルウェア感染が拡大する恐れ サイバー攻撃やマルウェア感染を 検知する仕組みがない 古いOS端末や管理されていない端末が OTネットワークに接続している OTネットワークの現状把握ができていない • ITとOTのネットワークの境界に設置 し、Firewall機能により必要な通信の み許可することでIT/OTを分離 • UTM機能によりマルウェアなどの 異常通信の検知や被害拡大を防止 • セグメンテーションによりネットワー ク内で不要な機器間の通信を遮断 UTM ITとOTのネットワーク間やOTネットワーク内を 分離し必要最低限の通信のみ許可する UTM機能（IDS/IPS、アンチウイルス、DLP）に よりサイバー攻撃の検知やリスク低減をする OTネットワーク内の資産を可視化し 不審な端末が無いか確認できるようにする 課題の対策 導入する製品 マルウェア感染に伴う 異常なトラフィックを検知する • マルウェア感染に伴う異常なトラ フィック（トラフィックの急増、 C＆Cサーバーとの通信など）を検知 • OTシステムの資産一覧化および資産 間のつながりを可視化 OT-IDS UTM：Unified Threat Management IDS：Intrusion Detection System IPS：Intrusion Prevention System STEP1 可視化 STEP2 規定策定 STEP3 構築 STEP4 監視

40. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 39 Before

    STEP3：セキュアなOTネットワークの構築 情報系ネットワーク 制御情報ネットワーク 制御ネットワーク フィールドネットワーク PLC PLC 情報系ネットワーク 制御情報ネットワーク 制御ネットワーク フィールドネットワーク PLC PLC 制御ネットワーク内の マルウェアの感染拡大 ITネットワークからマルウェア対策 のないOTネットワークへの感染拡大 必要通信のみ許可＋UTM機能によりITネット ワークとOTネットワークの境界を分離 セグメンテーションによりローカルネット ワーク内のマルウェア感染拡大を防止 After 導入イメージ（UTM） • UTM機器を設置することで、IT/OTの分離や制御ネットワーク内のセグメンテーションによるマルウェア感染拡大の防止や、豊富な セキュリティ対策機能（Firewall、IPS/IDS、アンチウイルスなど）によりセキュリティの異常検知や防御を行います。 • 製品例：FortiGateシリーズ STEP1 可視化 STEP2 規定策定 STEP3 構築 STEP4 監視

41. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 40 STEP3：セキュアなOTネットワークの構築

    情報系ネットワーク 制御情報ネットワーク 制御ネットワーク フィールドネットワーク PLC PLC 導入イメージ（OT-IDS） • 既存のネットワーク構成を変更することなくスイッチのミラーポートから取得したトラヒックを分析し、 資産や資産間のつながりを可視化します。 • マルウェア感染に伴う異常なトラフィックの検知・通知や、検知した脅威情報や脆弱性情報をレポートとして出力します。 • 製品例：OsecT（オーセクト）、NOZOMI Guardian トラフィック コピー 制御系通信など 資産や通信状況の可視化 管理画面イメージ 脅威情報や脆弱性情報 アラート通知 レポート取得 状況の確認 お客さま STEP1 可視化 STEP2 規定策定 STEP3 構築 STEP4 監視

42. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 41 •

    STEP3で導入した機器を監視します。 • セキュリティオペレーションセンター（SOC）にて、アナリストが収集されたアラートやログの分析、結果の通知を行います。 • アラートのリアルタイム通知や月次レポート、お問い合わせ受け付けなどのサービスを提供し、お客さまの運用負担を軽減します。 STEP4：OTネットワークのセキュリティ監視 セキュリティガイドラインの該当箇所 3.2.2(1)システム構成面での対策（工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0） DE-CM-1:ネットワークとネットワークサービスは攻撃を検知できるよう監視する(NIST CSF2.0) 情報系ネットワーク 制御情報ネットワーク 制御ネットワーク フィールド ネットワーク DCS PLC お客さま拠点 セキュリティオペレーションセンター セキュリティ分析プラットフォーム （セキュリティ運用基盤） アラート・ログ取得 お客さま アナリスト 通知・レポートなど 詳細分析 検知 各種ログ保管 ナレッジの活用 独自の分析ロジック STEP1 可視化 STEP2 規定策定 STEP3 構築 STEP4 監視

43. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 42 IT/OT機器の統合管理

    弊社が提供するマネージドセキュリティサービス（WideAngle）ではOTネットワークの機器に加え、ITネットワーク内のFWやインターネット GWのログを一元管理でき、それらログを相関分析することでより精緻な分析が可能となります。 STEP4：OTネットワークのセキュリティ監視 WideAngleでの相関分析の例 情報系ネットワーク 制御情報ネットワーク 制御ネットワーク フィールド ネットワーク DCS PLC お客さま拠点 セキュリティオペレーションセンター アナリスト インシデント通知 ログ保管サーバー インターネット C&Cサーバー アラート・ログ取得 SIEM分析エンジン お客さま ITネットワーク内のFWで、C&C サーバー宛と思われる不審なイン ターネット通信を遮断 OTネットワーク内のIDSで、 平常時には無いインターネット宛 の通信を検知 カスタマーポータル FWとIDSのログを相関分析し、 OT内の機器がマルウェアに感染し た疑いがあることを特定 高度分析 レポート作成 STEP1 可視化 STEP2 規定策定 STEP3 構築 STEP4 監視

44. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 43 お客さまの課題・将来構想に寄り添った最適な製品・サービスの組み合わせをご提案します。

    製品/サービスラインナップ コンポーネント 製品・サービス UTM機器 ・FortiGate等 OT-IDS機器 ・OsecT ・NOZOMI Guardian マネージドセキュリティサービス ・WideAngle(ネットワークセキュリティ) ・WideAngle(OTセキュリティ) ・ICT-24セキュリティオペレーションサービス(FortiGate SOCサービス)

45. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 44 OsecTの導入事例

    ⚫ 月額サブスク型の特徴を活かしたワンショットや定期診断用途での導入が先行 ⚫ 近年は製造業のグループ企業の常時監視用途での導入が進む 食品, グループ従業員3万人 • 資産管理の補助ツールとして OsecTを導入 • 四半期毎にレポートのレビューを 実施 電気機器, グループ従業員1万人 • セキュリティ対策が各工場任せ だったところをグループで統一 • 統一施策の手始めとして、 OsecTを使った現状把握を実施 • 情シス子会社での外販ビジネス にも活用 電機, グループ従業員3万人 • 情シス部門により定期的な資産 台帳情報提出が義務化 • 生産技術部門による資産台帳の 作成業務の効率化のためOsecT を活用 化学, グループ従業員3万人 • 手付かずだった工場セキュリ ティをトップダウンで開始 • 施策の手始めとして、OsecTを 使った現状把握を実施

46. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 45 おわりに

    ⚫ 制御システムのネットワーク化・デジタル化に伴い、IT環境のみならずOT環境も 被害に遭う時代に ⚫ 大手企業だけではなく、サプライチェーン全体が攻撃対象に ⚫ OT環境のセキュリティ対策として、可視化と検知を行うOT-IDSが有効 ⚫ NTTドコモビジネスはお客様/パートナー様からの要望を取り入れながら、 OT向けIDS「OsecT」を開発、安価に提供