本記事の内容は筆者個人の見解であり、所属組織・企業の公式見解ではありません。また、本記事の原案は AI を用いて作成していますが、ここで整理した概念や考え方については筆者自身が確認しています。
1. はじめに
OT のサイバーリスクというと少し堅く聞こえますが、イメージとしては、ランサムウェアやちょっとした誤操作が原因で工場や設備が止まり売上や納期に響いてしまうことをはじめ、そこから事故・不良品・法令違反・情報漏えいなどのトラブルが広がり、最終的には取引先やお客様にも影響が波及して「サイバーに弱い会社」という印象を持たれてしまう、といった一連のリスクの総称です。どれも IT 部門だけの話ではなく、最終的にはみなさまのビジネスの利益やコスト、そしてブランドに関わってくるイメージで捉えていただければ十分です。
例えば、今年発生した件はこちらとなります。
壱、NTTコミュニケーションズ(不正アクセス)
弐、損保ジャパン(不正アクセス)
参、アサヒグループホールディングス(ランサムウェア)
2. 典型的な攻撃シナリオ
典型的な攻撃の流れを図はこちらとなります。
ビジネス的には、1 通のフィッシングメール → 1 台の PC → OT 全体 → 生産停止・安全事故という「一本線」で繋がってしまっている状態です。
3. IT/OT 分離と DMZ の全体アーキテクチャ
IT/OT 分離と DMZ の全体像を一枚のアーキテクチャ図はこちらとなります。
ビジネス的に言うと:
- 「IT と OT に壁(ファイアウォール)をつくる」
- 「OT へ行く前に DMZ という“緩衝地帯”を置く」
ことで、攻撃の到達難易度を一気に引き上げます。
4. 特権アクセス管理(KeeperPAM)で「誰がどう入るか」を制御する
こちらは OT へのアクセス経路と特権アクセス管理のイメージとなります。
技術的な脆弱性よりも、
- 共有アカウント
- ベンダーの常時アクセス
- パスワードがエクセル/台帳管理
といった「人と運用」の問題で突破されるケースが多いですので、こうしたリスクに対して KeeperPAM を導入することで、たとえば次のような統制が可能になります。
-
「誰が・いつ・どの設備に・何をしたか」を追跡できる (セッションのレコーディングと再生)
-
ベンダーも含めて、アクセスが必要なときだけ権限を付与し、自動的に戻す (ジャストインタイムアクセス)
-
パスワードや鍵を人手ではなく Keeperボルト で集中管理することができる
- 退職者・契約終了ベンダーからのリスク低減
- 紙・エクセル流出リスク低減
5. 関連 Qiita 記事
OT セキュリティやゼロトラスト、ID・アクセス管理の観点をより深く理解したい場合は、関連する Qiita 投稿(「PAMは複雑で高い」はもう古い!KeeperPAMで実現する、1時間で導入できる次世代セキュリティ戦略、【2025年最新版】特権アクセス管理(PAM)とは何か?ゼロトラスト時代に不可欠な理由と導入のポイント、KeeperPAMを調べてみた!他社製品と比較して感じたこと、特権アクセス管理(PAM: Privileged Access Manager)は誰が行うか など)も参考になるかと思います。