みなさん、こんにちは。どんぶラッコです。
突然ですが、OTという言葉という言葉をご存知ですか?
IT ( Infomation Technology ) はよく聞くけど、OTはあまり耳にしないなあ
OTとは、製造業とかの工場にある機械を制御するための技術です。
組み込み系ってやつですね。
なんで突然こんな話題を出したのかというと、実はITセキュリティとOTセキュリティには大きな違いがあるからなんです。
そこで、今日はITセキュリティとOTセキュリティの違いについてご紹介しようと思います!
ITセキュリティ と OTセキュリティ の違い
ITの意味自体は広いのですが、ここでは普段使っているパソコンに対するセキュリティと考えておけばOKです。
では、自分のパソコンを守るためのセキュリティソフトはどんなものがあるでしょうか?
…McAfeeやNorton, ウィルスバスターなど、有名なセキュリティソフトの名前が思い浮かぶと思います。
一方、OTセキュリティを対象にしている製品はあるものの、主要どころはまだ登場していません。
それは何故かと言うと、OSやプロトコルに違いがあるからなんです。
IT vs OT — OSの違い
ITの場合、OSというと Windows, OSX, Linux 等の有名どころがいくつかあるので、主要なOSに対するセキュリティを提供すれば事足ります。
しかしOTの場合、OS自体をカスタマイズすることが多いのです。これは何を意味するかと言うと、工場によって機械に導入されているOSの仕組みがバラバラだということです。
IT vs OT — プロトコルの違い
また、利用する通信プロトコルにも違いがあります。
人間に置き換えると、「今日の会議は英語で実施します」って感じ。
この例だと英語が会議における”プロトコル”だね!
ITの場合、インターネット通信の規格である TCP / IP に関するセキュリティを見ておけばOKです。
一方、OTの場合はこれもまた、センサーとの通信専用のプロトコルなど、自社専用プロトコルを作っている場合が多いのです。
汎用的なセキュリティ製品が作りづらいのに…?
上2つで見てきたように、OTセキュリティについては、汎用的なセキュリティ製品を作成しづらい土壌があるのです。
では、今までOTセキュリティはどのようにしていたのでしょうか?
これについては、今まで考えなくて良かったというのが答えです。
工場内の機械などは、工場内でしか情報の通信をしない。つまり、外部からの攻撃について考えなくて良かったのです。
工場内の機械が唯一外側の情報に触れるのが、USBメモリやSDカードなど、工場内部の人間が人為的に情報を流し込んだ時です。
そのため、機械自体のセキュリティというより、人間のオペレーション側でセキュリティマネジメントを実施するという方法が主流でした。
しかし、近年のIoT化に伴い、そんなOT製品たちもインターネットに触れざるを得ない状況になってきました。
そこでOTセキュリティが着目されるようになったのがここ数年のお話です。
汎用的なOTセキュリティを提供しようとする製品もリリースされはじめています。この新たな市場のメインプレーヤーになるのは誰か。注目です。
