日立、OT機器の出荷前セキュリティ検査を効率化する技術を開発

　株式会社日立製作所（以下、日立）は17日、工場や電力設備などで使われるOT機器の出荷前セキュリティ検査を、機密情報を外部に渡さず、通信帯域に制限がある（10Mbps～100Mbps）環境でも効率的に実施できる技術を開発したと発表した。

　日立は開発の背景として、工場や電力設備などの重要インフラを狙ったサイバー攻撃の増加により、OT機器にはより高度なセキュリティ対策が求められており、特に、製品出荷前に脆弱性を発見して修正することが、運用開始後の被害を抑える上で重要だと説明している。

　OT機器の安全性確認では、疑似的な攻撃を繰り返して弱点を見つける検査（ペネトレーションテストやファジング）が有効だが、検査を実施する外部機関にソースコードなどの機密情報を開示することが難しい場合も多く、外部機関による検査における高度な検査手法の適用が進みにくい状況となっていたという。また、通信帯域に制限がある環境では、カバレッジビットマップの送受信に通信負荷がかかり、検査回数が不十分となることから、検査の効率化が求められていた。

　そこで日立は、機密情報を開示せずに、通信帯域に制限がある環境でもOT機器の出荷前セキュリティ検査を効率化する技術を開発した。

　OT機器の検査では、検査ツールと機器の接続方法が製品ごとに異なり、その調整が導入の手間になっていたが、開発した技術では製品ごとの違いを検査用ソフトウェアの工夫で共通化し、検査に必要な情報だけをやり取りする入出力インターフェイスを定義した。これにより、外部の検査機関にソースコードなどの機密情報を開示せずに、ペネトレーションテストやファジングなどの検査を実施できる。

　検査では、検査の進み具合を示す情報（カバレッジビットマップ）を検査ツール側に戻し、次に試す入力データを調整する。従来方式ではカバレッジビットマップを都度転送するため、通信帯域に制限がある環境では通信負荷がかかり、検査回数が不十分となることがあった。開発した技術は、カバレッジビットマップの変化した部分だけを送信し、変化がない場合は過去の類似データのIDのみを送ることで、通信量を抑える。

OT機器の出荷前セキュリティ検査を効率化する仕組み

　通信速度が10Mbps～100Mbpsの通信帯域に制限がある環境で、OTで用いられるWebサーバーを想定して評価した結果、従来方式と比べて、検査ツール側の受信トラフィックを10分の1に削減し、検査の精度を維持したまま網羅性を10～30％拡大できることを確認した。これにより、時間当たりの検査回数を増やすことが可能となり、検査の効率化を実現する。

　日立は今後、開発した技術を社内製品の出荷前セキュリティ検査に適用し、重要インフラ向けOT機器のセキュリティを強化するとともに、OT製品ベンダーや検査事業者との実証により、通信帯域に制限がある環境でも実施しやすい検査の標準化・省力化を進める。また、セキュリティ向上による産業オートメーション強化を通じて、社会インフラ整備・高度化と暮らしの安心・安全を両立するハーモナイズドソサエティの実現に貢献するとしている。