米当局は、イランに関連するとみられる脅威アクターによる攻撃活発化を警告し、標的に上下水道などの重要インフラを挙げました。水インフラは停止や水質への不安が直ちに社会混乱へつながり、「少ない労力で大きな効果」を狙う攻撃者にとって魅力的です。日本企業も、直接上下水道を運用していなくても、委託先・関連ベンダーとしてサプライチェーン上の入口になり得る点を前提に備える必要があります。
OT(制御)領域は、稼働停止が難しくパッチ適用が遅れやすい一方、遠隔監視や保守のためにITと接続されがちです。結果として、古い機器の継続利用、ベンダー依存、例外的な直通経路などが積み上がり、攻撃面が拡大します。地政学リスクが高い局面では、破壊に至らずとも「運用妨害の兆候」だけで相手にコストを強いられます。
現実的に多いのは、まずメールや端末、VPNなどIT側を侵害し、横展開してOTへ到達する流れです。特にVPN/RDP/リモート保守の認証情報が漏えいすると、正規の操作に見せかけて侵入されやすくなります。共有アカウント、退職者アカウントの放置、MFA未導入はリスクを跳ね上げます。
さらに、IT-OT境界の設計不備(例:ジャンプサーバ不在、許可ルールの広すぎ、緊急用の直通経路)があると、侵害は制御ネットワークに波及します。HMIやエンジニアリング端末を握られると、運転条件の改変、警報無効化、ログ改ざんなどプロセス影響が現実味を帯びます。ゼロデイではなく、既知の弱点と運用の穴で成立する点が重要です。
OTでは機密性よりも可用性・安全性が最優先です。ITで一般的な遮断・隔離が、制御通信断による停止や事故を誘発する可能性があるため、対策は「止めない設計」で考える必要があります。無人施設が点在し、遠隔監視や委託運用が多いほど、回線・端末・現地機器の管理は複雑になります。
また、自治体・地域企業・保守ベンダーなど関係者が多い環境では、責任分界とセキュリティ要件が曖昧になりがちです。情シスは自組織の範囲だけでなく、委託先接続、ログ取得、インシデント連絡、作業手順といった運用を含めて統制できているかを点検すべきです。
第一に、資産と通信の可視化です。PLC/HMI/スイッチ/回線/保守経路を棚卸しし、型番・ファーム・サポート期限と「正の通信」を把握します。未知の機器や不要な接続を潰すだけでも、侵入後の横展開を抑止できます。棚卸しは年1回の資料更新ではなく、変更管理とセットで回すことが重要です。
第二に、リモートアクセス統制です。MFAを原則必須、ジャンプサーバ経由を標準化し、個別アカウント+最小権限を徹底します。作業時間帯・接続元・操作ログを監査可能にし、委託先については要件(MFA、ログ提出、脆弱性対応、連絡SLA)を契約で担保します。第三に、IT-OT境界の見直しとして、OT側の許可通信を最小化し、例外ルールは期限付きで管理します。
最後に、検知と初動の整備です。OTにエージェント導入が難しくても、ミラーポート等で通信を観測し、普段と異なる通信先や操作を検知する設計は可能です。インシデント時の隔離判断、手動運転への切替、関係者連絡、ログ保全を訓練し、現場で回る手順に落とし込みます。ゴールは「侵入ゼロ」ではなく、侵入を前提に封じ込めと安全運転継続、迅速復旧を実現することです。
