皆さんこんにちは。技術本部のTTです。先日、OT機器に対するエンドポイントセキュリティについての話を聞く機会がありました。
OT領域におけるサイバーセキュリティは、これまでITと比較して後回しにされがちでしたが、現在その状況が大きく変わりつつあります。特に、Windows 10のEOSおよびサイバーレジリエンス法(CRA)に基づく報告義務の適用開始は、OT端末のエンドポイントセキュリティを再考する契機となっています。
Windows 10 EOSとCRA対応が意味すること
2025年以降、Windows 10のEOSに伴い、セキュリティ更新プログラムの提供が終了します。OT環境では、稼働停止リスクを避ける目的で、長年にわたって同一端末・同一OSを使用することが一般的ですが、このアプローチは、サポート終了OSの利用という構造的な脆弱性を抱えることになります。
実際、OT端末のうち約3割がWindows10を搭載しており、旧OS(Windows7、Windows8等)を含めると全体の約7割がサポート対象外の状態です。これらの端末は、OSレベルでの防御が期待できないため、エンドポイント側、あるいはネットワーク側での多層的なセキュリティ実装が不可欠となります。
加えて、CRAにおけるセキュリティインシデントの報告義務化により、「事後対処」ではなく、「事前の対策強化」が企業に求められるようになっています。
ロックダウン運用の実態と課題
OT環境におけるエンドポイントセキュリティ対策としては、アプリケーションロックダウンが主流となっています。これは、定義済みの許可リストにないアプリケーションの実行をブロックすることで、不要なプロセスの動作やマルウェアの侵入を防止する手法です。
しかし、実態としては運用面に多くの課題を抱えています。例えば、弊社取扱製品であるTXOne社のStellarでは、導入時に自動スキャンを行い、インストールされているアプリケーションの一覧を許可リストとして生成しますが、OSをインストールばかりのWindows10に初回スキャンを実施した場合に1万以上のエントリが検出されることもあり、ユーザー側での精査が事実上不可能な状況にあります。
結果として、検出されたアプリケーションを一括で許可して運用を開始するケースが大半であり、セキュリティの本来の目的である「制御されていないプロセスの排除」が形骸化しているのが現状です。さらに、一度作成された許可リストがその後の運用フェーズで見直されることはほとんどなく、新規アプリケーションの導入時にも、手動での追加・精査が行われないまま放置されることが多くなっています。
ロックダウン単体では不十分な理由
ロックダウンの概念自体は有効ですが、それ単体でOT端末の安全性を完全に担保することは困難です。たとえば、既に許可リストに登録されたアプリケーションに脆弱性が存在する場合、それを突かれるリスクは依然として残ります。また、正規の実行ファイルを悪用するLiving-off-the-Land(LotL)攻撃など、ホワイトリスト運用では対応しきれない攻撃手法も一般化しています。
こうした背景から、マルウェアスキャン機能や振る舞い検知との併用が、今後のOTエンドポイントセキュリティにおける標準となることが想定されます。特に、リアルタイムの異常検知や、ホワイトリスト外のプロセス起動に対する即時アラート機能などが、運用上の安全性を確保する上で極めて有効です。
セキュリティ運用の現実と理想のギャップをどう埋めるか
OT環境では、可用性や安定稼働を優先するがゆえに、セキュリティ更新や運用変更に対して慎重にならざるを得ません。そのため、「導入して終わり」ではなく、運用・保守フェーズでの継続的なリスクマネジメントと人的リソースの確保が成功の鍵を握ります。
また、エンドポイント製品を選定する際には、運用負荷の低減(例:許可リストのテンプレート化、自動分類機能、クラウド連携による継続学習など)を考慮したソリューションを選ぶことが、現実的なセキュリティ強化に繋がります。
終わりに
OT領域におけるエンドポイントセキュリティは、従来型の「静的防御」から「動的防御+継続的運用管理」へと移行していく必要があります。Windows10のEOSやCRA対応という外部圧力は、逆に言えばセキュリティ体制を見直す絶好のタイミングとも言えます。
「OSで守れない端末を、どう守るのか」。この問いに対し、各企業が自らの運用現場に即した答えを持つことが、これからのOTセキュリティに求められています。
