OT Network

OTネットワーク（Operational Technology Network）とは、製造業、エネルギー、交通、上下水道などの産業インフラにおいて、物理的なプロセスや設備を監視・制御するための通信ネットワークです。PLC、RTU、DCS、SCADAなどの制御機器を相互に接続し、センサーデータの収集、制御コマンドの配信、オペレータへの情報提供を行うネットワーク基盤として機能しています。

OTネットワークはITネットワークとは根本的に異なる要件を持っています。ITネットワークでは機密性（Confidentiality）が最優先されますが、OTネットワークでは可用性（Availability）と安全性（Safety）が最優先されます。制御システムの停止は生産損失だけでなく、設備の損傷や人命に関わる事故を引き起こす可能性があるため、パッチ適用やセキュリティ対策においても可用性への影響を慎重に考慮する必要があります。

近年、IT/OTの統合（コンバージェンス）が急速に進展しており、OTネットワークが企業ネットワークやインターネットと接続されるケースが増加しています。この変化により、従来はエアギャップによって守られていたOTネットワークが、IT側からのサイバー攻撃に晒されるリスクが急速に高まっています。OTネットワークのセキュリティ確保は、国家の重要インフラ保護における最重要課題の一つです。

Purdueモデルの各レイヤー

Purdueモデル（ISA-95/IEC 62264参照モデル）は、OTネットワークのアーキテクチャを階層的に整理するための標準フレームワークです。各レイヤーは異なる機能と責任範囲を持ち、レイヤー間の通信ルールを明確にすることでセキュリティを確保します。

• レベル0 - 物理プロセス：温度センサー、圧力計、流量計、アクチュエータ（バルブ、モーター）などのフィールド機器。物理的なプロセスを直接計測・操作する層
• レベル1 - 基本制御：PLC、RTU、DCSコントローラがリアルタイムのプロセス制御を実行。ミリ秒単位のスキャンサイクルで動作し、センサーからの入力に基づいてアクチュエータを制御する層
• レベル2 - エリア監視：HMI（ヒューマンマシンインタフェース）、エンジニアリングワークステーションが配置され、オペレータがプロセスの監視・操作を行う層
• レベル3 - サイト運用管理：ヒストリアンサーバー、MES（製造実行システム）、パッチ管理サーバーなどが配置される層。OTデータの長期保存・分析を担当
• レベル3.5 - 産業DMZ：IT/OT境界に設置される緩衝地帯。ジャンプサーバー、データダイオード、リバースプロキシなどを配置し、両ネットワーク間の安全な通信を仲介
• レベル4-5 - エンタープライズ/外部：ERPシステム、メールサーバー、インターネット接続。業務システムと外部ネットワークの層

ネットワークセグメンテーション

OTネットワークにおけるネットワークセグメンテーションは、Purdueモデルの各レベル間、および同一レベル内のゾーン間に適切なセキュリティ境界を設けることで、攻撃の横展開（ラテラルムーブメント）を防止する最も重要な防御策です。

セグメンテーションは、VLAN（仮想LAN）による論理的な分離、産業用ファイアウォールによるアクセス制御、データダイオードによる一方向通信の強制など、複数の技術を組み合わせて実装します。特にレベル3とレベル4の間の産業DMZは、IT側からの攻撃がOT側に到達することを防ぐ最後の砦として重要です。

産業DMZ（Demilitarized Zone）

産業DMZは、IT/OTネットワークの境界に設置される中間ネットワークセグメントで、両ネットワーク間の安全な通信を仲介します。産業DMZにはジャンプサーバー（踏み台サーバー）、データヒストリアンのミラーサーバー、パッチ管理サーバー、リモートアクセスゲートウェイなどが配置されます。

産業DMZの設計原則として、ITネットワークからOTネットワークへの直接的な通信は禁止し、必ずDMZ内のサーバーを経由させます。また、データダイオード（一方向ゲートウェイ）を使用して、OTからITへのデータ送信のみを許可し、IT側からのコマンドがOTに到達できないようにする構成も有効です。

産業用ファイアウォールとDPI

産業用ファイアウォールは、OT環境に特化したネットワークセキュリティアプライアンスです。通常のIPファイアウォール機能に加え、Modbus、DNP3、OPC UA、EtherNet/IPなどの産業用プロトコルのDPI（Deep Packet Inspection）が可能で、プロトコルレベルでの不正通信を検知・ブロックします。

例えば、Modbusプロトコルの場合、特定のファンクションコード（読み取り専用のコード03は許可し、書き込みのコード06は禁止するなど）をフィルタリングすることで、不正な制御コマンドの送信を防止できます。また、産業用ファイアウォールは高可用性（HA）構成やバイパスモード（障害時に通信を素通しさせるフェイルオープン機能）をサポートし、OT環境の可用性要件に対応しています。

OTネットワーク監視とNDR

OTネットワーク監視は、OTネットワーク内のすべての通信トラフィックを継続的に分析し、異常な通信パターンや不正なアクティビティを検知するためのセキュリティ手法です。OT環境では通信パターンが比較的安定しているため、ベースラインからの逸脱を検知するアノマリベースの検知が効果的です。

NDR（Network Detection and Response）ソリューションは、ネットワークトラフィックのミラーリング（SPANポートやTAP）を通じて、パッシブにトラフィックを分析します。これにより、制御システムに影響を与えることなく、資産の自動検出、脆弱性の特定、異常通信の検知を行うことができます。Claroty、Nozomi Networks、Dragosなどが代表的なOT NDR製品を提供しています。

• 01
  Purdueモデルに基づく多層防御の実装：OTネットワークをPurdueモデルの各レベルに従ってセグメント化し、レベル間の通信を産業用ファイアウォールで厳格に制御してください。特にレベル3.5（産業DMZ）を確実に設置し、IT/OT間の直接通信を遮断しましょう。各セグメント間のファイアウォールルールは「デフォルト拒否」の原則で設定してください。
• 02
  OT資産の完全な可視化とインベントリ管理：パッシブネットワーク監視ツールを導入し、OTネットワーク上のすべての接続デバイスを自動検出・分類してください。各デバイスのベンダー、モデル、ファームウェアバージョン、通信先などの情報を維持し、未承認デバイスの接続を即座に検知できる体制を整えましょう。
• 03
  産業用プロトコルのDPIと異常検知：Modbus、DNP3、OPC UA、EtherNet/IPなどの産業用プロトコルに対応したDPI（ディープパケットインスペクション）を導入してください。正常な通信パターンのベースラインを構築し、異常なファンクションコードや通信頻度の変化をリアルタイムに検知・アラートする体制を整えましょう。
• 04
  リモートアクセスの厳格な管理：OTネットワークへのリモートアクセスは、産業DMZ内のジャンプサーバーを経由し、VPNと多要素認証を必須としてください。リモートアクセスセッションはすべて録画・ログ記録し、時間制限を設けて不要なセッションを自動切断する仕組みを導入しましょう。TeamViewerなどの汎用リモートアクセスツールの使用は禁止してください。
• 05
  データダイオードによる一方向通信の強制：最も重要度の高いOTセグメントとIT/外部ネットワークの間には、データダイオード（一方向ゲートウェイ）の導入を検討してください。OTからITへのデータ送信（プロセスデータ、ログなど）は許可しつつ、IT側からOTへのコマンド送信を物理的に不可能にすることで、最高レベルの保護を実現できます。
• 06
  IT/OT統合SOCの構築と人材育成：IT SOCとOTセキュリティチームを統合した運用体制を構築し、ITとOT両方のセキュリティイベントを相関分析できるSIEM環境を整備してください。OTセキュリティに精通した人材の育成・採用を進め、GICSP（Global Industrial Cyber Security Professional）などの資格取得を支援しましょう。