S4x26とManuSec Europeが示したOTサイバーセキュリティの未来

産業用サイバーセキュリティは、今まさに転換点を迎えています。

米国のS4x26と欧州のManuSecの両カンファレンスに参加して明らかになったのは、OTセキュリティの議論が大きく変化しているという事実です。

かつての議論の中心は、セグメンテーション、ファイアウォール、コンプライアンスチェックリストでした。今や議論は、個別の技術的制御から離れ、接続性・可視性・コンプライアンス・アイデンティティにまたがる、より広範な問いへと移行しています。

組織は今、複数の方向から同時に圧力を受けています。以下に、両カンファレンスで浮かび上がった主要テーマをまとめます。

1. AIはOTセキュリティを本当に変えるのか？

端的に言えば、変える——ただし、多くが期待するような形ではないかもしれません。

ITの世界では、AIはすでに変革をもたらしています。OTにおいては、多くの環境がいまだに古いインフラに依存しているため、その影響はさらに大きな意味を持つ可能性があります。SQL Server 2000や20〜30年前のインフラが現役のケースも珍しくありません。

かつてもIndustry 4.0プラットフォームやブロックチェーンが変革をもたらすと期待されました。しかし既存インフラが対応できず、普及は停滞しました。

AIが違う理由は、既存システムの置き換えを必ずしも必要としない点にあります。断片化した環境の上に重なり、既存システムが生み出すデータを解釈する役割を果たせるのです。具体的には：

• 複数システムにわたる監査ログの相関分析
• リモートアクセスの活動と生産への影響の紐付け
• 録画されたリモートセッションの自動レビュー

これらは既存システムの可視性を高めることに焦点を当てたユースケースです。AIはOTを単独で近代化することはできませんが、現状を正確に把握する手助けにはなり得ます。

2. なぜOT環境の防御は難しくなっているのか？

両カンファレンスを通じた一貫したテーマが、OT環境に流入する接続数の増加でした。工場はかつてないほど多くのテクノロジーを統合しています：

• AIエージェント
• 監視プラットフォーム
• リモートアクセスソリューション
• 外部サービスプロバイダー
• コンプライアンス対応の統合
• データ集約プラットフォーム

OT環境が孤立した状態を保てるという前提は、もはや現実的ではありません。課題は接続が増えるかどうかではなく、それらをいかに安全に管理するかです。新たな統合・サービス・接続のたびに攻撃対象領域は拡大しますが、多くの工場では何が接続されているかすら把握できていないのが現状です。

3. OTサイバー攻撃はどれほど現実的か？

OT環境においてサイバーリスクを定量化することは依然として難しい課題です。ITにはランサムウェアの頻度やフィッシング成功率などの統計データが存在しますが、OTでは多くの組織が環境への完全な可視性を欠いているため、利用可能なデータは限られています。

しかし、OT環境全体にわたるペネトレーションテストの実施者に話を聞くと、一貫したパターンが見えてきます：

• 境界は予想より速く突破される
• 侵入後の横移動は想定より容易
• 見落とされがちな小さなシステムが、ネットワーク深部への経路になっている

これらの知見は、現代のセキュリティ戦略における重要な前提を裏付けています——侵害シナリオは現実として想定しなければならない、ということです。セキュリティアーキテクチャは侵入防止だけでなく、封じ込め・監視・侵害後の対応にも重点を置く必要があります。

4. 規制はOTセキュリティ戦略にどう影響しているか？

コンプライアンス要件が製造組織のセキュリティ判断に与える影響は拡大しています。ManuSecでは、以下のような実践的な実装に関する議論が多くを占めていました：

• NIS2要件にどう対応するか
• IEC 62443の実装とは実際にどのようなものか
• サードパーティのリモートアクセスをどう管理するか
• 装置メーカーが納入する機器のセキュリティをどう検証するか

これらは単なる理論ではなく、実際の運用上の意思決定を反映した問いです。多くの組織が規制要件を満たすためにインフラとセキュリティプロセスを積極的に見直しています。

5. MFAとSSOだけでOTセキュリティは十分か？

最も将来志向の議論は、認証ではなくアイデンティティそのものをめぐるものでした。SSOとMFAは今や広く受け入れられたセキュリティ対策ですが、それはゴールではありません。

AIは攻撃者のハードルを下げています。ブルートフォース自動化、クレデンシャルスタッフィング、音声スプーフィングは、もはや高度な国家レベルの技術ではありません。エントリーレベルが下がっているのです。

これは産業環境に根本的な問いを突きつけます：認証情報の検証を超えて、どうアイデンティティを確認するか？

• 工場フロアから誰かがアクセスをリクエストしてきたとき、本当にその人物か確認できるか
• サードパーティの技術者がリモートでログインしたとき、単に認証情報を検証するだけでなく、コンテキストを理解できるか
• AIが音声や行動を模倣できるとき、何が信頼できるシグナルになるか

アタック層は拡大しています。アイデンティティ層も同様に進化し、OTセキュリティの重要なレイヤーとなっていく必要があります。

6. 多くの組織は次のフェーズに備えているか？

残念ながら、多くはそうではないようです。AIや高度なセキュリティツールの話題にもかかわらず、大多数の産業環境はいまだ基本的な対策に取り組んでいる段階です。

両カンファレンスで共通して指摘されたギャップには、ネットワークセグメンテーション、ファイアウォール設定、アクセス制御の規律、接続システムの可視性、定期的かつ包括的なペネトレーションテストが含まれていました。

これらの基本的なコントロールを効果的に実装・維持できれば、全体のリスクは大幅に低下します。新技術が複雑さを加速させる中、基盤となるセキュリティ対策が未整備の組織は、現在の防御と新たな脅威との間のギャップが拡大していくリスクに直面しています。

全体像：OTセキュリティは新たなフェーズへ

複数の力が同時にOTセキュリティの構造を変えています。AIが新たな可視性と文脈分析を可能にし、OTへの接続が倍増し、規制の圧力が高まり、攻撃の高度化が進み、ID検証がより複雑になっています。

S4とManuSecの両カンファレンスから得られた最も重要なメッセージは、OTセキュリティはAI時代に突入したということです。早期に適応できる組織は、それに伴うリスクと複雑さの管理において、大きなアドバンテージを持つことになります。