コラム 2025.11.24 製造業の未来を守るためには何が必要か？ 30年にわたるレガシーテクノロジーを変革

KDDI America

ファイアウォール・フリーの工場では、セキュリティポリシーは物理ネットワークに紐づけられず、ユーザー、デバイス、ワークロードに合わせて変化する。

昨今の急速に進化する業界環境において、製造業は機械や組立ラインだけでなく、接続性、インテリジェンス、頑丈さも重要です。KDDI Americaは、明日の工場は、すべてのデバイス、システム、ユーザーが安全かつ機敏に対話する時代に向けて設計されなければならないと考えています。これからのスマートファクトリーの時代では、段階的なアップグレードでは十分ではなく、大きな変革が必要となります。KDDI Americaは、何十年にもわたる時代遅れな「当たり前」を捨て、強固で安全なクラウド対応のゼロトラスト接続に基づいて構築された、先進的な技術を求めるメーカーと提携する準備が出来ています。

スマートファクトリーと産業オートメーションによって促進された製造業の発達は諸刃の剣であると言えます。一方では今までになかった価値と近代化があり、もう一方ではその副作用である攻撃対象領域の大幅な拡大という問題があります。残念ながら、「すべてを保護する」という古いセキュリティ体制自体がこの問題を悪化させているのです。

「レガシーネットワークとセキュリティソリューションに今まで数十億ドルが注ぎ込まれてきましたし、今でも尚注ぎ込まれています」と、OTの製品管理を監督するZscalerのシニアディレクターであるDeepak Patel氏は述べています。「ありがたいことに、意思決定者がビジネスリスクを真に理解するようになるにつれて、業界は30年来の停滞を克服し始めています。」

多くのメーカーは、ネットワークをセグメント化して保護するために、VPN、アクセスコントロールリスト、ファイアウォールなど、古い方法を使用して安全を担保しています。業界には対処すべき課題が十分にあるため、理解できるアプローチと言えます。しかし、時代遅れのセキュリティアプローチは、昨今のコネクテッドな産業環境を対象としたものではありません。「簡単に言えば、メーカーはネットワークを変革する必要があります。そうでなければ、安全を確保することは不可能です」とPatel氏は述べています。

従来の境界セキュリティは、ネットワーク内のすべてが信頼できることを前提としています。これは工場が外部環境から孤立していたときに機能しましたが、今のスマートファクトリーはクラウドに接続したり、リモートでアクセスしたり、サードパーティのシステムと統合しています。昔ながらの方法でセキュリティを担保するには、以下が必要となります。

• コストのかさむ複雑なVPNとファイアウォール：これらの管理とメンテナンスは、ITチームに時間と労力のかかる負担を強いります。
• 横展開：共有VLANにより、デバイス同士が自由に通信できるため、OT環境はランサムウェアやマルウェアの拡散に対して脆弱になります。
• サードパーティのアクセスの盲点：サプライヤーや請負業者は、多くの場合、広域なネットワークアクセスを持っているため、ネットワークが危険にさらされる可能性が増加します。

例として、2022年に北米とラテンアメリカにあるブリヂストン・アメリカズの製造施設を約1週間閉鎖させたランサムウェア攻撃があります。その後まもなく、トヨタはサプライヤーの小島興産がサイバー攻撃を受け、約1万3,000台の自動車の生産損失に見舞われたため、国内全工場の操業を停止しました。

多くの企業はすでに、エージェントレスかつ、ゼロトラストベースのデバイスレベル・セグメンテーションに移行しています。ある大手自動車会社は、生産工場全体でZscalerソリューションを展開し、すべてのデバイス、ワークロード、ユーザーを脅威から隔離しています。根拠のない信頼を排除し、セグメンテーションをダイナミックにすることで、攻撃対象領域を大幅に縮小しているのです。

製造業におけるゼロトラストで、最も興味深い進化の1つは、ファイアウォールのない工場への移行です。歴史的に、OTセグメンテーションは、物理ファイアウォール、VLAN、アクセスコントロールリスト(ACL)に依存して、環境をITおよび外部ネットワークから分離してきました。しかし、このアプローチはコストがかかり、複雑で、横方向の動きを止めるのに効果がないことが証明されています。

ファイアウォールは常に産業セキュリティの主要部分と見なされてきました。しかし、昨今の製造環境では管理を続けることが困難となる問題があります。

• 運用の複雑さ：複数の拠点やクラウド環境にまたがる何千ものファイアウォールのポリシーを管理しようとすると、リソースが消費されると同時に、エラーが発生しやすくなります。
• 高いコスト：ファイアウォールとSD-WANには、継続的なメンテナンス、専用のアプライアンス、複雑な構成が必要であり、コストが上昇します。
• セキュリティギャップ：ファイアウォールは内部の回線が安全であると想定しているため、内部脅威や感染したデバイスに対して効果がありません。

真のセキュリティは、境界だけでなく、個々のデバイス、アプリケーション、接続自体を保護します。ファイアウォールのない工場に移行することで、境界制御をゼロトラスト・マイクロセグメンテーションに置き換えることができるのです。

ファイアウォールのない工場では、セキュリティポリシーは物理ネットワークに関連付けられず、ユーザー、デバイス、ワークロードをダイナミックに保護します。IPベースのセグメンテーションに依存する代わりに、ゼロトラストは以下を可能にします。

• デバイスレベルのマイクロセグメンテーション：各OT資産（PLC、センサー、コントローラーなど）は「1つのネットワーク」に分離され、マルウェアの拡散を阻止します。ゼロトラストをLANに拡張すると、ファイアウォール、NAC、またはVLANがない状態で、感染の横展開を阻止することができます。
• IDを基準としたアクセス： オペレーター、エンジニア、ベンダーには、アクセスしてくる場所ではなく、IDが誰であるかに基づいてアクセスが許可されます。
• ゼロトラストリモートアクセス：請負業者とサプライヤーは、可視性と監視を備えた、一時的かつ制限付きのアクセス権限を受け取ることができます。

エージェントレスのゼロトラスト・セグメンテーションは、複雑なACLとファイアウォールポリシーを排除することでセキュリティを簡素化し、インフラの構成を変更することなくきめ細かなセグメンテーションを可能にします。また、ランサムウェアのキルスイッチとしても機能し、重要でないデバイスの通信を自動的にブロックして、組織全体の運用を中断することなく感染の横展開を阻止します。これにより、ランサムウェアがIoTやOT環境全体に拡散するのを防ぎ、運用ダウンタイムのリスクを最小限に抑えることができるのです。

以下の図のように、Zscaler のゼロトラスト・デバイス・セグメンテーションを備えたネットワークは、Zscaler Zero Trust Exchange がすべてのトラフィックのデフォルトゲートウェイとなり、ポリシーの適用ポイントとなります。通信情報を収集し、工場ネットワークがどのように機能するかを学習し、IT セグメントと OT セグメントへのアクセスを制御するポリシーを進化させることができます (自律的にグループ化した後に可能)。

このアーキテクチャにより、OT システムを 1 つのセグメントに分離し、工場内部へのアクセスを既知の MAC アドレスのみに制限できます。ファイアウォール、NACアプライアンスやエージェント、マイクロセグメンテーションエージェントは不要で、ITフットプリントを小さく抑え、セキュリティも強化されます。これらすべては、他社サービスと比較しても非常にリーズナブルな価格で提供することが可能なのです。

数々のお客さまは現在、ゼロトラスト・マイクロセグメンテーションとAIを活用したセキュリティの自動化を使用して工場を進化させています。AI を活用したセグメンテーションにより、セキュリティが強化され、運用上のオーバーヘッドが削減される理由は、以下です。

• 重要な基幹システムは、IT環境やクラウド環境から隔離。
• セキュリティポリシーはダイナミックに適用されるため、手動でルールを設定することなく横展開を防止。
• 侵害予測テクノロジーを使い、不審な動作をリアルタイムで特定し、脅威がエスカレートする前に検出して阻止。
• 自動化されたアクセス制御により、請負業者やサプライヤーに対し、工場のネットワーク全体を公開することなく、必要なものだけを公開することが可能に。

機械学習を利用してトラフィックパターンを分析することで、OTデバイスを1つのネットワークに自動的にグループ化し、VLANのアドレス変更や複雑なACL無しでセグメンテーションを確立できます。このファイアウォール・フリーのモデルは、セキュリティがソフトウェアで成り立ち、AI 主導であり、ID を基本としたセキュリティの未来と合致しています。

製造業のお客さまで、セキュリティを進化させたい方は、これらのポイントを覚えておきましょう。

• 可視化から始める： ゼロトラストを適用する前に、すべての OT、IoT、IT デバイスのインベントリを作成しましょう。ほとんどのOT/IoT回線はローカル環境にとどまるため、継続的な可視性が重要です。自動検出により、不正な資産を検出し、セグメンテーションを実施、セキュリティを向上させます。手動のアセット管理は必要ありません。
• パブリックネットワークへの露出を最小限に抑える： OT および IoT システムがインターネットから直接アクセスできないようにして、リスクを軽減しましょう。
• サードパーティベンダーに対する厳格なアクセス制御の実施：永続的でかつ制限の甘いVPNアクセスを、時間制限のあるIDベースのアクセスに置き換えて、サプライヤーと請負業者の脅威への脆弱性を抑えましょう。
• 従来のファイアウォールの枠を超える：OT デバイスのセグメント化には、高価なアプライアンスや複雑なルール管理は必要ありません。代わりに、ソフトウェア定義のセグメンテーションを使用して、ポリシーをダイナミックに適用することができます。
• 脅威をリアルタイムで検出する：AI 主導の監視を実装して、脅威がエスカレートする前に検出しましょう。
• 不正接続を禁止する：承認済みユーザーとデバイスへのアクセスを制限して、横方向の感染を防ぎます。
• 不要なOT/IoTインターネット接続を制限する：脅威の横展開を排除することでリスクを軽減しましょう。

これらのゼロトラストの原則に従うことで、メーカーはリスクを軽減し、攻撃対象領域を縮小し、現代の産業の脅威に適応するOTセキュリティモデルを構築できます。

製造業界は、根拠のない「当たり前」を排除し、すべての接続を継続的に監視するため、ゼロトラストを必要としています。製造業界でも主要である自動車や電源管理会社などは、OT 環境と将来性のある製造工場を保護するためにゼロトラストを導入しています。

メーカーがオペレーションのクオリティ向上、イノベーション、強固さを求めるには、段階的な進化では物足りません。Zscalerが実現するゼロトラストでファイアウォールのない工場は、単なる夢物語ではなく、競争力のある業界リーダーのベースラインになりつつあります。KDDI Americaでは、製造業のお客さまがこの変革を乗り越えられるよう支援し、すべての接続、すべてのデバイス、すべてのユーザーが安全で機敏なエコシステムの一部となるように尽力しています。なぜなら、製造業はレガシーテクノロジーで成功するのではなく、接続性、セキュリティ、インテリジェンスで成功するからです。その未来を一緒に築きましょう。

免責事項：
このニュースレターに記載されている意見は、あくまで著者の個人的な見解であり、 KDDI America, Inc または他の企業や組織の見解や意見を反映するものではありません。

KDDIアメリカ

KDDIアメリカ（本社：ニューヨーク）は、1989年に設立され、以降30年にわたりワンストップのICTソリューションを提供しています。米国に8拠点展開し、サービスエリアは北米だけでなく中南米もカバーしています。お客さまに最適なデジタルトランスフォーメーションを実現するべく、近年は、既存のICTソリューションの提供だけでなく、アプリケーション分野におけるコンサル・構築などを強化しています。

こうした取組みをとおして、お客さまの挑戦を全力でサポートしていきます。