製造業や重要な社会基盤を支える現場では、装置や設備を制御するための特化したシステムが数多く存在している。これらの装置やシステム群は、事務処理を担う伝統的な情報系システムとは異なる役割を持つ。ものづくりの現場、エネルギーの安定供給、水道施設や交通制御など、市民生活や産業の営みを根底から支える仕組みを見ると、その核心の多くには制御技術が存在する。この世界で不可欠なのが、いわゆる生産現場や社会基盤の制御に特化した「制御技術」であり、専門的にはオペレーショナル・テクノロジーと呼ばれる。日本語で表現すると「運用技術」や「現場制御技術」という意味合いが最も近い。
この技術を適用したインフラストラクチャは、日常の暮らしや大規模産業を背後で支えているにもかかわらず、その仕組みが一般市民の目に触れることはほとんどない。しかしながら、その信頼性と安全性が揺らげば、経済活動や市民生活そのものに深刻な影響を及ぼしかねない。ここで着目すべき課題が、制御技術システムに対するセキュリティ対策である。情報系システムのセキュリティ対策が進歩する一方、制御技術分野の安全確保はどのような特徴や固有の課題を持つのか。まず、制御対象となる装置や設備は長期間運用されることが多く、10年以上前に設計・導入されたものも少なくない。
こうしたシステムの多くは、セキュリティの観点が今ほど重視されていなかった時期に構築されたため、外部ネットワークとの物理的な遮断、いわゆる「閉じた環境」を前提にして設計されている。しかし時代の流れとともに、運用の効率化やデータ利活用の要求から制御技術分野でも情報系ネットワークとの接続が進み、分散制御や遠隔制御、分析などが可能になった。これらの変化は、一方で新たな脅威をもたらすことにもなる。本来、外部から隔てられていたはずの現場制御システムが、不正アクセスやサイバー攻撃に曝されるリスクにさらされはじめているのである。制御技術システムに対するセキュリティ対策の必要性が認識される例は増えており、実際にインフラ分野において不正アクセスやマルウェア感染といった被害事例も報告されている。
こうした状況を受けて、各現場では現存する設備やシステムへのセキュリティ強化の重要性を再認識し、対策を講じる動きが拡大している。ただし、制御技術分野におけるセキュリティ施策にはいくつかの難しさがある。第一に、現場の安定稼働を最優先しつつ、最低限の停止や制約で対策を行う必要がある。制御に関するシステムは、24時間連続で稼働しているものも珍しくなく、不用意なシャットダウンやシステム更新が与えるインパクトは大きい。このため、情報系システムのように短期間で全面アップデートやパッチの適用が困難な場合が多い。
次に、制御技術分野の通信プロトコルや機器構成には業界独自の特徴があることが挙げられる。従来のパソコンやサーバを前提としたセキュリティ技術が、そのまま適用できない場面も少なくない。たとえば、通信手順の特殊性や、機器が最小限の計算資源しか持たないため複雑な暗号化処理を担えない場合も見られる。さらに、制御技術に熟練した技術者と情報系セキュリティの専門家の間では、用いる用語や問題意識にズレが生じやすい。現場技術者は、システム稼働の本来目的や安全動作を最優先にする立場にあり、セキュリティ強化策の導入には現場ならではのハードルが出てくる。
この現実に向き合い、現場の声とセキュリティニーズを両立させるアプローチが求められている。国内外のガイドラインや各分野の業界団体による手引きも整いつつあり、セキュリティ上のリスク評価、物理的なネットワーク分離、アクセス権限の厳格管理、監視・侵入検知の導入、システム稼働状況の記録や教育訓練の充実といったさまざまな取り組みが進展している。また、最新機器への置換えが困難なシステムに対しては、侵入防止のためのゲートウェイ装置設置やプロトコル変換、制限的なネットワーク設定などの現実的な統制策も検討されている。制御技術分野でのセキュリティは、情報損失のみならず、操業停止や物理的災害につながり得る。社会インフラ全体の安全性を守るためにも、現場独自の特性と制約を踏まえた現実的なセキュリティ対策が今後ますます重要になってくるだろう。
装置や設備が時間とともに老朽化するなかで、その制御技術も不断の見直しと強化が求められている。今後も分野横断的な専門知識の連携と、現場実態に即した現実解の模索が不可欠となるだろう。製造業や社会インフラの現場では、装置や設備を制御するオペレーショナル・テクノロジー(OT)が不可欠であり、これらは市民生活や産業の根底を支えている。しかし、長期間運用されることを前提に設計された多くの現場システムは、過去にはセキュリティ対策が重視されておらず、物理的に外部と遮断することで安全性を担保してきた。近年、運用効率化やデータ活用の必要からネットワーク接続が進み、現場システムもサイバー攻撃のリスクに晒されつつある。
情報系システムと比べて、OTでは安定稼働を最優先し、システム停止や更新が難しいため、セキュリティ強化が簡単ではない。また、機器や通信手順が特殊で、パソコン向けの一般的なセキュリティ対策をそのまま適用できない場合が多い。現場技術者と情報セキュリティ専門家の間には意識や優先事項の違いもあり、十分な連携も課題となる。こうした状況を受け、国内外ではリスク評価やネットワーク分離、アクセス管理、監視強化などさまざまな手法が普及しつつある。古いシステムには現実的な対応策の導入が求められており、今後は分野横断的な知識の連携や現場に即した対策がさらに重要となる。