可視化なくして防御なし：OT-IDSで始める制御ネットワークのセキュリティ対策 / No Defense Without Visualization! Let's Start Security Measures for Control System Network with OT-IDS

Transcript

1. © NTT Communications Corporation All Rights Reserved. 可視化なくして防御なし！ OT-IDSで始める制御ネットワークの セキュリティ対策

   2025年6月11日 NTTコミュニケーションズ株式会社 イノベーションセンターテクノロジー部門 加島伸悟 石禾里帆 Interop Tokyo 2025

2. © NTT Communications Corporation All Rights Reserved. 3 自己紹介 加島

   伸悟（かしま しんご） 所属・役職 NTTコミュニケーションズ株式会社 • イノベーションセンター テクノロジー部門 担当部長 • マネージド＆セキュリティサービス部 セキュリティサービス部門 セキュリティ・キャンプ協議会 理事 略歴 • 広域イーサネットサービスの技術＆商用開発 • フロー監視（xFlow）の技術開発＆国際標準化 • NTTグループ全体のセキュリティガバナンス • 制御システムセキュリティの技術開発・サービス開発 • OsecTシリーズのプロダクトオーナー

3. © NTT Communications Corporation All Rights Reserved. 4 自己紹介 石禾

   里帆（いさわ りほ） 所属 NTTコミュニケーションズ イノベーションセンター テクノロジー部門 ソフトウェアエンジニア 略歴 2024年4月 イノベーションセンター着任 内製サービスOsecTのソフトウェア開発に従事

4. © NTT Communications Corporation All Rights Reserved. 8 制御システム（OT)を取り巻く環境とサイバー脅威

5. © NTT Communications Corporation All Rights Reserved. 9 Operational Technology

   (OT) とは ⚫ 製造業、エネルギー、重工業、建物、公共事業、輸送、医療、放送などの産業分野において、設備・シス テムを最適に動かすための技術 ⚫ 情報技術（Information Technology, IT）と対比されることが多い

6. © NTT Communications Corporation All Rights Reserved. 10 制御システム（OT）を取り巻く環境 サプライチェーン

   IoT OT IT リモート保守 クラウド 制御システムの外部との接続が急増 サイバーリスクも増大 例: センサー/アクチュエータ、PLC、システム全体の停止・誤作動 制御システムのサイバーリスクが 事業に影響を与える事例も

7. © NTT Communications Corporation All Rights Reserved. 11 OTシステムへの攻撃事例 |

   ランサムウェア感染 ⚫ 制御システムのネットワーク化・デジタル化に伴い、IT環境のみならずOT環境も被害に遭う時代に ⚫ 大手企業だけではなく、サプライチェーン全体が攻撃対象に 港湾システム ランサムウエアに感染した影響で、 2日半にわたりコンテナ搬出入が停止。 物流が止まったことに伴い、自動車 会社が一部ラインを停止。 （2023年@日本） 自動車製造（グループ従業員20万人） EKANSまたSNAKEに感染した影響 で、自動車工場2拠点の出荷が一時 停止。海外にも感染が波及し、海外 9拠点の生産が1~3日間停止。 （2020年@日本 ） 金属製品メーカ（従業員100人） PCとサーバの合計25台がAvaddon に感染。データ復旧作業や感染経路 の調査のため、業務の完全正常化ま で1ヶ月以上を要した。 （2021年@日本） アルミニウム製造（従業員2万人） LockerGogaに感染し、一部生産、 オフィス業務に影響。プラントは影 響拡散防止のためシステムから分離。 被害は最初の1週間で3億円以上と推 定 （2019年@ノルウェー）

8. © NTT Communications Corporation All Rights Reserved. 12 OTシステムへの攻撃事例 |

   OT特化型マルウェア Time discovered Stuxnet Triton/Trisis /HatMan Industroyer / CrashOverRide Havex BlackEnergy2,3 Irongate PLC-Blaster VPNFilter Shneider Electric製 安全計装システム Triconex 産業用 プロトコル Modbus 産業用プロトコル（電力等） IEC 60870-5-101/104 IEC 61850, OPC DA OPC Classic 産業用プロトコル EtherNet/IP等 GE製 CIMPLICITY等 Siemens製 SIMATIC WinCC/PC7, STEP 7 Snake ransomware / Ekans Honeywell製 HMI Webアプリ等 Industroyer2 INCONTROLLER/ PIPEDREAM OPC UAサーバ Schneider PLC (Modbus/Codesys) Omron PLC (HTTP/FINS) COSMICENERGY 産業用プロトコル IEC 60870-5-104 S7 Simulator S7 PLC 産業用プロトコル IEC 60870-5-104 2010 2011 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 FrostyGoop Fuxnet 産業用 プロトコル Modbus 遠隔検針用 プロトコル Meter-Bus ：悪用を確認 ：研究用途の可能性

9. © NTT Communications Corporation All Rights Reserved. 15 OTシステムのサイバーリスク 情報系ネットワーク

   制御情報ネットワーク 制御ネットワーク フィールドネットワーク 外部からの不正アクセス マルウェア感染 情報系ネットワーク経由の 不正アクセス・マルウェア感染 リモートメンテナンス等 によるマルウェア感染 従業員のセキュリティ意識 管理されていないIT機器 セキュリティポリシーの不備 可搬媒体からの マルウェア感染 ランサムウェアによる事業継続リスク セキュリティインシデント時の対応 VPNの脆弱性による 不正アクセス、マルウェア感染 VPN マルウェアの内部拡散 DCS PLC DCS PLC 工 場 等 マルウエア対策のない クローズド環境の端末 管理されていないインターネット・ リモートアクセスポイント

10. © NTT Communications Corporation All Rights Reserved. 16 OTシステムのサイバーリスク・対策 情報系ネットワーク

    制御情報ネットワーク 制御ネットワーク フィールドネットワーク 外部からの不正アクセス マルウェア感染 情報系ネットワーク経由の 不正アクセス・マルウェア感染 リモートメンテナンス等 によるマルウェア感染 従業員のセキュリティ意識 管理されていないIT機器 セキュリティポリシーの不備 可搬媒体からの マルウェア感染 ランサムウェアによる事業継続リスク セキュリティインシデント時の対応 VPNの脆弱性による 不正アクセス、マルウェア感染 VPN マルウェアの内部拡散 DCS PLC DCS PLC 工 場 等 コンサルティング 凡例 製品・サービス 教育・訓練 セキュリティポリシー策定支援 OTネットワーク可視化 OTシステム向けIDS セキュアネットワーク構築 セキュアリモートアクセス セキュアリモートアクセス 可搬型記憶媒体のマルウエア検査 リスクアセスメント OTネットワーク可視化 セキュリティ監視 OTセキュリティ教育 セキュアデータバックアップ OTセキュリティ教育 セキュリティ体制構築支援 インシデント対応訓練 セキュリティ監視 セキュアネットワーク構築 マルウエア対策のない スタンドアローン端末 オフラインでのマルウエア検査 OT向けセキュリティ監視

11. © NTT Communications Corporation All Rights Reserved. 17 リスクへの効果的なアプローチ OTネットワーク可視化

    OT-IDS（OTシステム向けIDS）等を用いて、OTネットワークの資産や通信を可視化し、 不正アクセスやマルウェア感染等につながるリスクを把握 セキュアネットワーク構築 不要な資産を取り除き、資産管理体制を整備した上で、 ファイヤウォール、UTM等でネットワーク分離、アクセス制御を行い、侵入や拡散を防ぐ OT向けセキュリティ監視 OT-IDS（OTシステム向けIDS）を用いて、OTネットワークの内部通信を監視し、不正ア クセスやマルウェア感染やそれらにつながる事象を早期に検知 同時に、資産や通信状況を確認し、ファイアウォールの設定を見直し

12. © NTT Communications Corporation All Rights Reserved. 18 OT-IDS（OTシステム向けIDS）

13. © NTT Communications Corporation All Rights Reserved. 21 OTシステムとITシステムにおける要件のギャップ 項目

    制御システム（OT） 情報システム（IT） セキュリティの優先順位 追加要件 保護対象 システム更新サイクル 通信 1. 可用性（Availability） 2. 完全性（Integrity） 3. 機密性（Confidentiality） 1. 機密性（Confidentiality） 2. 完全性（Integrity） 3. 可用性（Availability） • 健康 （Health） • 安全 （Safety） • 環境 （Environment） • モノ（設備、製品）、サービス（操業） • 10～20年+ • 3～５年 • 標準通信プロトコル＋独自通信プロトコル • 平文通信・パスワード等の簡易な認証 • 標準通信プロトコル • 暗号通信・暗号技術による認証有り ｰ • データ（個人情報等） OS更新・パッチ適用 • 一般的でない • オンラインでの定期・随時更新 ウイルス対策 • 一般的でない • 端末へのアンチウイルス、EDRの導入

14. © NTT Communications Corporation All Rights Reserved. 22 制御システム向けセキュリティ製品の要件 セキュリティ対策の導入によりシステムへの影響があってはいけない

    既存端末へのランサムウェア対策のソフトウェア（アンチウィルスソフト、 EDR等）の導入が難しい 脅威情報が公開されないためパターンマッチ型の脅威検知が適合しにくい 機器・端末の状態を把握していない 安定稼働最優先 最新の脅威への対応 資産管理

15. © NTT Communications Corporation All Rights Reserved. 23 制御システム向けセキュリティ製品 OT-IDS

    安定稼働最優先 ✓ ネットワーク型（端末導入型ではない） ✓ パッシブ型（インライン型ではない） ✓ 検知まで（遮断まではしない） 最新の脅威への対応 ✓ 学習ベースの脅威検知 （システムや業務への理解無しに 正常/異常通信の区別が困難という 別の課題あり） 資産管理 ✓ 充実した可視化機能 IDS (Intrusion Detection System) 不正侵入検知システム → パッシブ型・・・OTへの適用事例が多い IPS (Intrusion Prevention System) 不正侵入防止システム → インライン型・・・ITへの適用事例が多い ミラーリング

16. © NTT Communications Corporation All Rights Reserved. 27 OTシステム向けIDS「OsecT」

17. © NTT Communications Corporation All Rights Reserved. 28 国産 OT-IDS

    「OsecT」 OsecT（オーセクト）は、ISP/Tier1大規模ネットワークにおけるDDoS対策で培った通信フロー解析技術や 東京2020オリンピック・パラリンピック競技大会を支えた通信インフラ向けのリスク可視化技術など、NTT 研究所の技術を基にNTTコミュニケーションズが製品化したOTシステム向けIDSです。 OTネットワーク可視化 サイバー脅威の早期検知 さまざまな角度から分析した接続端末や通信をOsecT SaaS 環境のポータル画面で確認できます。 不審な端末や未知の通信などのサイバー脅威を早期に発見 し、アラートを通知します。

18. © NTT Communications Corporation All Rights Reserved. 29 OsecTの構成 お客様環境

    スイッチ 工場（OT環境） OsecT センサー LTE スイッチ 工場（OT環境） OsecT センサー LTE OsecT SaaS環境 セキュリティ監視 Webポータル センサー LTE用USB端末 SIMカード OsecT3点セット [NEW] 国産PC Type N※1 （NEC-PF製） Type D （DELL製）

19. © NTT Communications Corporation All Rights Reserved. 30 国産 OT-IDS

    「OsecT」の特徴 低価格な月額料金でご利用いただけます。 ※月額料金には無線通信回線やポータルの利用料も含まれています。 お客様環境 スイッチ 工場A（OT環境） OsecT センサー LTE スイッチ 工場B（OT環境） OsecT センサー LTE セキュリティ担当者 データ 可視化 分析 OsecT SaaS環境 アラート通知 現状の把握 セキュア回線で データアップロード ① 低価格 ② 簡単導入 OsecTセンサーを工場内のスイッチのミラーポートに接続するだけで準備完了。 OsecTセンサーからOsecT SaaS環境へのデータアップロード用の無線通信回線が付 属しているため、新たなネットワーク工事は不要です。 センサーからSaaSへの通信は当社閉域網を利用するため、 ASM (Attack Surface Management：外部から攻撃を受ける可能性のある対象領域の管理)不要です。 セキュリティ監視状況はOsecT SaaS環境のWebポータルで確認できます。 遠隔地のセキュリティ担当者が各工場を一元監視することもできます。 ③ セキュリティ管理不要 ④ SaaSによる一元管理 セキュリティ運用支援サービスの付帯が可能です。（2025年7月提供開始） ⑤ セキュリティ運用支援の付帯

20. © NTT Communications Corporation All Rights Reserved. 31 特徴① OTシステムIDSとしては廉価

    ⚫ 初期導入費用は海外製品の数分の一（同一台数の場合） ⚫ 小規模ネットワーク構成でも導入し易い価格設定です。 初年度（Type N） ¥1,430,000（初期：¥350,000 月額：\90,000） ※1 初年度（Type D） ¥1,330,000（初期：¥250,000 月額：\90,000） 次年度 \1,080,000 ※1セットの税別価格 費用に含むもの ・初期：センサーHW、LTE用USB端末、SIMカード ・月額：Webポータルご利用、通信費用 費用に含まないもの ・導入支援、セキュリティ運用支援※2 等 ※2: オプションサービスとして、セキュリティ運用支援をご提供可能です ※1 センサーHWのライナップ追加に伴い初期費用を改訂予定（2025年7月1日）

21. © NTT Communications Corporation All Rights Reserved. 32 特徴② 簡単導入

    ⚫ センサー機器をスイッチ等のミラーポートに接続するだけ ⚫ OsecTセンサーで取得した情報のアップロードにはNTT閉域モバイル通信を用いるため、ネットワークの 設計やVPN機器の設置は不要 お申し込み OsecT3点セットのお受取り・開封 3点セットの接続・設置 スイッチの設定・3点セットの接続 （NTT Comにて機器の設置を確認後、開通工事を行います。） 設定完了の確認 3点セット（センサー端末＋LTE用USB端末＋専用SIMカード）がご指 定の住所に届きます 1 5 4 3 2 シンプルなお申込書 マニュアル・お客様サポート 窓口完備！ マニュアル・お客さまサポート窓口 完備！ Webポータルにログイン センサー LTE用USB端末 SIMカード OsecT3点セット [NEW] 国産PC Type N※1 （NEC-PF製） Type D （DELL製） ※1 センサーHWのライナップ追加予定（2025年7月1日）

22. © NTT Communications Corporation All Rights Reserved. 33 特徴③ セキュリティ管理不要

    ⚫ WebポータルはSaaSに一元化 センサーからSaaSへの通信は当社閉域網を利用するため、 ASM（Attack Surface Management, 外部から攻撃を受ける可能性のある対象領域の管理）不要 お客様環境 スイッチ 工場（OT環境） OsecT センサー LTE OsecT SaaS環境 セキュリティ監視 Webポータル 直接閉域 接続

23. © NTT Communications Corporation All Rights Reserved. 34 特徴④ SaaSによる一元管理

    ⚫ セキュリティ監視状況はOsecT SaaS環境のWebポータルで確認可能 ⚫ 遠隔地のセキュリティ担当者が各工場を監視することもできます A工場 LTE OsecT SaaS環境 セキュリティ監視 B工場 LTE C工場 LTE 本社セキュリティ担当者 Webポータル

24. © NTT Communications Corporation All Rights Reserved. 35 特徴⑤ セキュリティ運用支援の付帯

    ⚫ 重要なアラートをわかりやすくメール通知 ⚫ アラートについてのお問い合わせをWEBポータルにて回答 ⚫ OsecTのレポートをお客様に代わり毎月出力しメールで通知する と同時に、直近のセキュリティ時事情報や注目すべきニュースも 合わせてお届け OsecT SaaS環境 セキュリティ監視 セキュリティ担当者 Webポータル ? ポータルで疑問点を 問い合わせ

25. © NTT Communications Corporation All Rights Reserved. 36 OsecT 機能紹介

26. © NTT Communications Corporation All Rights Reserved. 37 可視化 -端末-

    多角的な端末の可視化、ネットワークマップ、2つ期間のネットワークの構成差分の可視化によって、OT ネットワーク環境を視覚的に把握し、資産管理や新たに接続された端末の特定を行うことで、対策強化や有 事の際の対応に役立てていただけます。 • 自動で端末情報を一覧化 • 端末一覧をCSVファイルで出力し、台帳として利用可 能 端末一覧 • 生存端末を16x16のマトリックス形式で可視化 • ベンダ/OS/役割に応じた色分けによって俯瞰した 分析が可能 端末マトリックス

27. © NTT Communications Corporation All Rights Reserved. 38 可視化 -端末・ネットワーク-

    多角的な端末の可視化、ネットワークマップ、2つ期間のネットワークの構成差分の可視化によって、OT ネットワーク環境を視覚的に把握し、資産管理や新たに接続された端末の特定を行うことで、対策強化や有 事の際の対応に役立てていただけます。 • 端末の通信接続関係をマップ形式で可視化 • 表示データは画像で出力可能 ネットワークマップ • 2つの期間の端末・ネットワークの構成差分を可視化 • 新たに接続された端末の特定が可能 差分分析 端末属性の変化 （例: 利用ポートの変化） 消失端末 新規接続端末 ◯消失端末 ◯新規接続端末 左右を見比べて、端末の接続・消失、 端末属性（OS、ベンダ、役割）の変化を確認

28. © NTT Communications Corporation All Rights Reserved. 39 可視化 -ネットワーク-

    端末やサービスの利用トラフィック量、接続端末数などの傾向の可視化、ネットワークにおける影響度の高 い端末を特定することで、対策強化や有事の際の対応に役立てていただけます。 • ネットワークの負荷（使用帯域）を可視化 • ループ等による帯域圧迫を発見 トラフィック • 接続端末数/トラフィック量が多い端末/サービスを 可視化 • OTネットワークの傾向を把握可能 ランキング

29. © NTT Communications Corporation All Rights Reserved. 40 台帳連携 -端末管理やアラート対応の効率化-

    既存の資産管理ソフトから台帳データを取り込むことで、OsecTの各種機能と連携し、端末管理や不審端末 の検出時の業務の効率化に役立てていただけます。 端末情報を端末一覧やネットワークマップと連携 端末設置場所や設置時期などの情報も併せて表示 台帳情報を新規端末検知機能と連携 アラート画面に台帳有無を表示 端末情報に基づくメール通知の発出条件を設定可能 端末一覧/ネットワークマップ機能との連携 新規端末検知機能との連携

30. © NTT Communications Corporation All Rights Reserved. 41 アセスメント ボタン一つでネットワークに接続されている資産やリスクの可視化レポートを出力、ポイントを絞ったレ

    ポートにより、対策強化や改善の優先順位付けや有事の際の対応に役立てていただけます。 ボタン一つでレポート出力 端末資産やサポート切れのOS端末を一覧化 編集可能なパワーポイント形式で出力 トラフィック量や平文通信、RDP通信なども可視化 アセスメント機能 アセスメントレポートファイル

31. © NTT Communications Corporation All Rights Reserved. 42 導入事例

32. © NTT Communications Corporation All Rights Reserved. 43 導入事例 ⚫

    月額サブスク型の特徴を活かしたワンショットや定期診断用途での導入が先行 ⚫ 近年は製造業や物流等におけるグループ企業の常時監視用途での導入が進む データセンター • 親会社のガイドラインに従って物 理セキュリティを中心に対策して いたが、ネットワークのセキュリ ティは未着手だった • OsecTを使った現状把握と常時監 視を実施 工場（電気機器, 従業員1万人） • セキュリティ対策が各工場任せ だったところをグループで統一 • 統一施策の手始めとして、 OsecTを使った現状把握を実施 • 情シス子会社での外販ビジネス にも活用 工場（電機, 従業員3万人） • 情シス部門により定期的な資産 台帳情報提出が義務化 • 生産技術部門による資産台帳の 作成業務の効率化のためOsecT を活用 工場（化学, 従業員3万人） • 手付かずだった工場セキュリ ティをトップダウンで開始 • 施策の手始めとして、OsecTを 使った現状把握を実施

33. © NTT Communications Corporation All Rights Reserved. 44 OsecT SRA

34. © NTT Communications Corporation All Rights Reserved. 45 OTシステムのサイバーリスク・対策（再掲） 情報系ネットワーク

    制御情報ネットワーク 制御ネットワーク フィールドネットワーク 外部からの不正アクセス マルウェア感染 情報系ネットワーク経由の 不正アクセス・マルウェア感染 リモートメンテナンス等 によるマルウェア感染 従業員のセキュリティ意識 管理されていないIT機器 セキュリティポリシーの不備 可搬媒体からの マルウェア感染 ランサムウェアによる事業継続リスク セキュリティインシデント時の対応 VPNの脆弱性による 不正アクセス、マルウェア感染 VPN マルウェアの内部拡散 DCS PLC DCS PLC 工 場 等 コンサルティング 凡例 製品・サービス 教育・訓練 セキュリティポリシー策定支援 OTネットワーク可視化 OTシステム向けIDS セキュアネットワーク構築 セキュアリモートアクセス セキュアリモートアクセス 可搬型記憶媒体のマルウエア検査 リスクアセスメント OTネットワーク可視化 セキュリティ監視 OTセキュリティ教育 セキュアデータバックアップ OTセキュリティ教育 セキュリティ体制構築支援 インシデント対応訓練 セキュリティ監視 セキュアネットワーク構築 マルウエア対策のない スタンドアローン端末 オフラインでのマルウエア検査 OT向けセキュリティ監視

35. © NTT Communications Corporation All Rights Reserved. 46 OsecT SRA

    IIJ様との協業により、セキュアリモートアクセスとOT-IDSを一元提供（2025年9月提供開始予定） OTシステム Safous App Gateway / OsecT IDS OsecT IDS Remote Sensor 機器メンテナンス通信 メンテナンス担当者 セキュリティ担当者 Safous Global POP スイッチ ミラー トラフィック IDS Sensor 通信 PLC/RTU 等 SRA: 安全なリモートアクセス SRAとOT-IDSの一元提供 • 可視化/脅威検知機能とリモートアクセス機能を1つのSaaSで利用可能 • SaaSでありながら、クラウドへのデータ蓄積なし • 予め許可されたアプリケーションに許可された権限でリモート アクセス • 細やかなアクセス権限の設定、共通パスワードの秘匿、アクセス 承認管理、操作履歴の録画保存 • 国内通信事業者2社の協業により、海外製のSRAとOT-IDSを別々に 導入するよりも安価なソリューションを実現 OT-IDS: OT可視化と脅威検知 低価格 • 可視化/脅威検知機能とリモートアクセス機能を1つのSaaSで 利用可能 • SaaSでありながら、クラウドへのデータ蓄積なし

36. © NTT Communications Corporation All Rights Reserved. 47 おわりに

37. © NTT Communications Corporation All Rights Reserved. 48 おわりに ⚫

    制御システムのネットワーク化・デジタル化に伴い、IT環境のみならずOT環境も 被害に遭う時代に ⚫ 大手企業だけではなく、サプライチェーン全体が攻撃対象に ⚫ OT環境のセキュリティ対策として、可視化と検知を行うOT向けIDSが有効 ⚫ NTT Comはお客様/パートナー様からの要望を取り入れながら、 OT向けIDS「OsecT」を開発、安価に提供

38. © NTT Communications Corporation All Rights Reserved. 51