可視化なくして防御なし！OT-IDSで始める制御ネットワークのセキュリティ対策 / No Defense Without Visualization! Let's Start Security Measures for Control System Network with OT-IDS

Transcript

1. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 可視化なくして防御なし！ OT-IDSで始める制御ネットワーク

   のセキュリティ対策 製造業サイバーセキュリティ展 2025年7月11日 NTTドコモビジネス株式会社 （旧NTTコミュニケーションズ株式会社） 石禾里帆

2. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 2 石禾里帆

   いさわりほ 所属 NTTドコモビジネス (旧NTTコミュニケーションズ) イノベーションセンター テクノロジー部門 ソフトウェアエンジニア 略歴 2024年4月 イノベーションセンター着任 内製サービスOsecTのソフトウェア開発に従事 専門 ソフトウェア開発 プライバシ研究

3. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 3 制御システム(OT)を取り巻く環境と

   サイバー攻撃

4. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 4 Operational

   Technology (OT) とは ⚫ 製造業、エネルギー、重工業、建物、公共事業、輸送、医療、放送などの産業分野において、設備・シス テムを最適に動かすための技術 ⚫ 情報技術（Information Technology, IT）と対比されることが多い

5. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 5 制御システム（OT）を取り巻く環境

   サプライチェーン IoT OT IT リモート保守 クラウド 制御システムの外部との接続が急増 サイバーリスクも増大 例: センサー/アクチュエータ、PLC、システム全体の停止・誤作動 制御システムのサイバーリスクが 事業に影響を与える事例も

6. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 6 製造業への攻撃事例

   | ランサムウェア感染 ⚫ 制御システム(OT)のネットワーク化・デジタル化に伴い、IT環境のみならずOT環境も被害に遭う時代に ⚫ 大手企業だけではなく、サプライチェーン全体が攻撃対象に 自動車部品製造（従業員1500人） 子会社が設置したリモート接続機器 の脆弱性をつかれ感染。調査等のた めにシステムを遮断したことにより、 取引先の大手自動車生産工場（14工 場28ライン）が停止 （2022年@日本） 自動車製造（グループ従業員20万人） EKANSまたSNAKEに感染した影響 で、自動車工場2拠点の出荷が一時 停止。海外にも感染が波及し、海外 9拠点の生産が1~3日間停止。 （2020年@日本 ） 金属製品メーカ（従業員100人） PCとサーバの合計25台がAvaddon に感染。データ復旧作業や感染経路 の調査のため、業務の完全正常化ま で1ヶ月以上を要した。 （2021年@日本） アルミニウム製造（従業員2万人） LockerGogaに感染し、一部生産、 オフィス業務に影響。プラントは影 響拡散防止のためシステムから分離。 被害は最初の1週間で3億円以上と推 定 （2019年@ノルウェー）

7. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 7 OTシステム向けセキュリティ製品の要件

8. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 8 OTシステムとITシステムにおける要件のギャップ

   項目 制御システム（OT） 情報システム（IT） セキュリティの優先順位 追加要件 保護対象 システム更新サイクル 通信 1. 可用性（Availability） 2. 完全性（Integrity） 3. 機密性（Confidentiality） 1. 機密性（Confidentiality） 2. 完全性（Integrity） 3. 可用性（Availability） • 健康 （Health） • 安全 （Safety） • 環境 （Environment） • モノ（設備、製品）、サービス（操業） • 10～20年+ • 3～５年 • 標準通信プロトコル＋独自通信プロトコル • 平文通信・パスワード等の簡易な認証 • 標準通信プロトコル • 暗号通信・暗号技術による認証有り ｰ • データ（個人情報等） OS更新・パッチ適用 • 一般的でない • オンラインでの定期・随時更新 ウイルス対策 • 一般的でない • 端末へのアンチウイルス、EDRの導入

9. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 9 制御システム向けセキュリティ製品の要件

   セキュリティ対策の導入によりシステムへの影響があってはいけない 既存端末へのランサムウェア対策のソフトウェア（アンチウィルスソフト、 EDR等）の導入が難しい 脅威情報が公開されないためパターンマッチ型の脅威検知が適合しにくい 機器・端末の状態を把握していない 安定稼働最優先 最新の脅威への対応 資産管理

10. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 10 制御システム向けセキュリティ製品

    OT-IDS 安定稼働最優先 ✓ ネットワーク型（端末導入型ではない） ✓ パッシブ型（インライン型ではない） ✓ 検知まで（遮断まではしない） 最新の脅威への対応 ✓ 学習ベースの脅威検知 資産管理 ✓ 充実した可視化機能 IDS (Intrusion Detection System) 不正侵入検知システム → パッシブ型・・・OTへの適用事例が多い IPS (Intrusion Prevention System) 不正侵入防止システム → インライン型・・・ITへの適用事例が多い ミラーリング

11. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 11 OTシステム向けIDS

    「OsecT」

12. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 12 国産

    OT-IDS 「OsecT」 OsecT（オーセクト）は、ISP/Tier1大規模ネットワークにおけるDDoS対策で培った通信フロー解析技術や 東京2020オリンピック・パラリンピック競技大会を支えた通信インフラ向けのリスク可視化技術など、NTT 研究所の技術を基にNTTコミュニケーションズが製品化したOTシステム向けIDSです。 OTネットワーク可視化 サイバー脅威の早期検知 さまざまな角度から分析した接続端末や通信をOsecT SaaS 環境のポータル画面で確認できます。 不審な端末や未知の通信などのサイバー脅威を早期に発見 し、アラートを通知します。

13. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 13 OsecTの構成

    お客様環境 スイッチ 工場（OT環境） OsecT センサー LTE スイッチ 工場（OT環境） OsecT センサー LTE OsecT SaaS環境 セキュリティ監視 Webポータル センサー LTE用USB端末 SIMカード OsecT3点セット [NEW] 国産PC Type N※1 （NEC-PF製） Type D （DELL製）

14. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 14 国産

    OT-IDS 「OsecT」の特徴 低価格な月額料金でご利用いただけます。 ※月額料金には無線通信回線やポータルの利用料も含まれています。 お客様環境 スイッチ 工場A（OT環境） OsecT センサー LTE スイッチ 工場B（OT環境） OsecT センサー LTE セキュリティ担当者 データ 可視化 分析 OsecT SaaS環境 アラート通知 現状の把握 セキュア回線で データアップロード ① 低価格 ② 簡単導入 OsecTセンサーを工場内のスイッチのミラーポートに接続するだけで準備完了。 OsecTセンサーからOsecT SaaS環境へのデータアップロード用の無線通信回線が付 属しているため、新たなネットワーク工事は不要です。 センサーからSaaSへの通信は当社閉域網を利用するため、 ASM (Attack Surface Management：外部から攻撃を受ける可能性のある対象領域の管理)不要です。 セキュリティ監視状況はOsecT SaaS環境のWebポータルで確認できます。 遠隔地のセキュリティ担当者が各工場を一元監視することもできます。 ③ セキュリティ管理不要 ④ SaaSによる一元管理 セキュリティ運用支援サービスの付帯が可能です。（2025年7月提供開始） ⑤ セキュリティ運用支援の付帯

15. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 15 特徴①低価格！OTシステム向けIDSとしては廉価

    ⚫ 初期導入費用は海外製品の数分の一（同一台数の場合） ⚫ 小規模ネットワーク構成でも導入し易い価格設定です。 初年度（Type N） ¥1,430,000（初期：¥350,000 月額：\90,000） 初年度（Type D） ¥1,330,000（初期：¥250,000 月額：\90,000） 次年度 \1,080,000 ※1セットの税別価格 費用に含むもの ・初期：センサーHW、LTE用USB端末、SIMカード ・月額：Webポータルご利用、通信費用 費用に含まないもの ・導入支援、セキュリティ運用支援※1 等 ※1: オプションサービスとして、セキュリティ運用支援をご提供可能です

16. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 16 特徴②

    簡単導入 ⚫ センサー機器をスイッチ等のミラーポートに接続するだけ ⚫ OsecTセンサーで取得した情報のアップロードにはNTTの閉域モバイル通信を用いるため、ネットワーク の設計やVPN機器の設置は不要 お申し込み OsecT3点セットのお受取り・開封 3点セットの接続・設置 スイッチの設定・3点セットの接続 （NTTドコモビジネスにて機器の設置を確認後、開通工事を行います。） 設定完了の確認 3点セット（センサー端末＋LTE用USB端末＋専用SIMカード）がご指 定の住所に届きます 1 5 4 3 2 シンプルなお申込書 マニュアル・お客様サポート 窓口完備！ マニュアル・お客さまサポート窓口 完備！ Webポータルにログイン センサー LTE用USB端末 SIMカード OsecT3点セット [NEW] 国産PC Type N※1 （NEC-PF製） Type D （DELL製） ※1 センサーHWのライナップ追加予定（2025年7月1日）

17. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 17 特徴③

    セキュリティ管理不要 ⚫ WebポータルはSaaSに一元化 センサーからSaaSへの通信は当社閉域網を利用するため、 ASM（Attack Surface Management, 外部から攻撃を受ける可能性のある対象領域の管理）不要 お客様環境 スイッチ 工場（OT環境） OsecT センサー LTE OsecT SaaS環境 セキュリティ監視 Webポータル 直接閉域 接続

18. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 18 特徴④

    SaaSによる一元管理 ⚫ セキュリティ監視状況はOsecT SaaS環境のWebポータルで確認可能 ⚫ 遠隔地のセキュリティ担当者が各工場を監視することもできます A工場 LTE OsecT SaaS環境 セキュリティ監視 B工場 LTE C工場 LTE 本社セキュリティ担当者 Webポータル

19. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 19 特徴⑤

    セキュリティ運用サポートの付帯 （オプション） ⚫ 重要なアラートをわかりやすくメール通知 ⚫ アラートについてのお問い合わせ対してWEBポータルにて回答 ⚫ OsecTのレポートをお客様に代わり毎月出力しメールで通知する と同時に、直近のセキュリティ時事情報や注目すべきニュースも 合わせてお届け OsecT SaaS環境 セキュリティ監視 セキュリティ担当者 Webポータル ? WEBポータルで疑問点 を問い合わせして解決 アラートメール セキュリティ専門家 （NTT） 2025年7月1日から提供開始 年間費用: 1,260,000円～

20. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 20 国産

    OT-IDS 「OsecT」の特徴 低価格な月額料金でご利用いただけます。 ※月額料金には無線通信回線やポータルの利用料も含まれています。 お客様環境 スイッチ 工場A（OT環境） OsecT センサー LTE スイッチ 工場B（OT環境） OsecT センサー LTE セキュリティ担当者 データ 可視化 分析 OsecT SaaS環境 アラート通知 現状の把握 セキュア回線で データアップロード ① 低価格 ② 簡単導入 OsecTセンサーを工場内のスイッチのミラーポートに接続するだけで準備完了。 OsecTセンサーからOsecT SaaS環境へのデータアップロード用の無線通信回線が付 属しているため、新たなネットワーク工事は不要です。 センサーからSaaSへの通信は当社閉域網を利用するため、 ASM (Attack Surface Management：外部から攻撃を受ける可能性のある対象領域の管理)不要です。 セキュリティ監視状況はOsecT SaaS環境のWebポータルで確認できます。 遠隔地のセキュリティ担当者が各工場を一元監視することもできます。 ③ セキュリティ管理不要 ④ SaaSによる一元管理 セキュリティ運用支援サービスの付帯が可能です。（2025年7月提供開始） ⑤ セキュリティ運用支援の付帯

21. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 21 OsecT

    機能紹介

22. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 22 可視化

    -端末- 多角的な端末の可視化、ネットワークマップ、2つ期間のネットワークの構成差分の可視化によって、OT ネットワーク環境を視覚的に把握し、資産管理や新たに接続された端末の特定を行うことで、対策強化や有 事の際の対応に役立てていただけます。 • 自動で端末情報を一覧化 • 端末一覧をCSVファイルで出力し、台帳として利用可 能 端末一覧 • 生存端末を16x16のマトリックス形式で可視化 • ベンダ/OS/役割に応じた色分けによって俯瞰した 分析が可能 端末マトリックス

23. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 23 可視化

    -端末・ネットワーク- 多角的な端末の可視化、ネットワークマップ、2つ期間のネットワークの構成差分の可視化によって、OT ネットワーク環境を視覚的に把握し、資産管理や新たに接続された端末の特定を行うことで、対策強化や有 事の際の対応に役立てていただけます。 • 端末の通信接続関係をマップ形式で可視化 • 表示データは画像で出力可能 ネットワークマップ • 2つの期間の端末・ネットワークの構成差分を可視化 • 新たに接続された端末の特定が可能 差分分析 端末属性の変化 （例: 利用ポートの変化） 消失端末 新規接続端末 ◯消失端末 ◯新規接続端末 左右を見比べて、端末の接続・消失、 端末属性（OS、ベンダ、役割）の変化を確認

24. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 24 可視化

    -ネットワーク- 端末やサービスの利用トラフィック量、接続端末数などの傾向の可視化、ネットワークにおける影響度の高 い端末を特定することで、対策強化や有事の際の対応に役立てていただけます。 • ネットワークの負荷（使用帯域）を可視化 • ループ等による帯域圧迫を発見 トラフィック • 接続端末数/トラフィック量が多い端末/サービスを 可視化 • OTネットワークの傾向を把握可能 ランキング

25. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 25 検知

    -予防- 新たに接続された端末、未知の通信、サポート切れのOSを使っている端末などを検知・アラート通知するこ とで、お客さまでのリスク対処や予防対応につなげていただけます。 • ネットワーク内の端末アドレスを自動で学習 • 野良端末を見逃さずに早期に発見 新規端末検知 • サポート切れのOSを利用する端末を自動検出 • リスクの高い端末を見逃さず早期に発見 脆弱端末検知

26. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 26 検知

    -異常の早期発見- マルウェア感染等の異常が発生した場合、その挙動（定常業務でなかった通信の発生やトラフィック量の増 減など）を検知・アラート通知することで、お客さまでの早期対応・影響の極小化につなげていただけます。 • ネットワーク内の通信情報を自動で学習 • 未知の通信を逃さず早期に発見 IP通信検知 • 端末ペア毎に定常業務のトラフィック量を学習 • 時間帯毎の閾値を自動で算出 IP流量検知

27. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 27 検知

    -異常の早期発見- 既知のリスクの高い通信パターンに同じマッチした検知・アラートすることで、お客さまでの早期対応・影 響の極小化につなげていただけます。 • システムに影響を与えるOTコマンドを検知 • 検知対象のコマンドや端末はカスタマイズ可能 OT振舞検知 • 既知の攻撃パタンにマッチした通信を検知 シグネチャー検知

28. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 28 台帳連携

    -端末管理やアラート対応の効率化- 既存の資産管理ソフトから台帳データを取り込むことで、OsecTの各種機能と連携し、端末管理や不審端末 の検出時の業務の効率化に役立てていただけます。 端末情報を端末一覧やネットワークマップと連携 端末設置場所や設置時期などの情報も併せて表示 台帳情報を新規端末検知機能と連携 アラート画面に台帳有無を表示 端末情報に基づくメール通知の発出条件を設定可能 端末一覧/ネットワークマップ機能との連携 新規端末検知機能との連携

29. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 29 アセスメント

    ボタン一つでネットワークに接続されている資産やリスクの可視化レポートを出力、ポイントを絞ったレ ポートにより、対策強化や改善の優先順位付けや有事の際の対応に役立てていただけます。 ボタン一つでレポート出力 端末資産やサポート切れのOS端末を一覧化 編集可能なパワーポイント形式で出力 トラフィック量や平文通信、RDP通信なども可視化 アセスメントレポート.pptx アセスメント機能 アセスメントレポートファイル

30. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 30 おわりに

31. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 31 おわりに

    ⚫ 制御システムのネットワーク化・デジタル化に伴い、IT環境のみならずOT環境も サイバー攻撃の被害に遭う時代に ⚫ 大手企業だけではなく、サプライチェーン全体が攻撃対象に ⚫ OT環境のセキュリティ対策として、可視化と検知を行うOT-IDSが有効 ⚫ NTTドコモビジネスはお客様/パートナー様からの要望を取り入れながら、 OT-IDS「OsecT」を開発、安価に提供

32. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. 33