2026年6月、衝撃的なニュースが報じられました。陸上自衛隊の機密システムに、中国系とされるマルウェアに感染したUSBメモリーが約1年間にわたって接続し続けていたという事件です(日本経済新聞、2026年6月報道)。感染USBはネット通販で市場価格の約半額で販売されていた偽造品で、内部には正規のフラッシュメモリーではなく安価なmicroSDカードが組み込まれていました。調査の結果、約480台のうち50台以上が感染し、機密性の高い作戦指揮情報を扱う「閉域系」端末の約半数が影響を受けていたことが明らかになりました。
このニュースを「自衛隊だけの話」と受け流してはいけません。電力・ガス・鉄道・水道・工場を支える産業制御システム(ICS)を狙ったサイバー攻撃は民間企業にも広がっており、それを担う技術者に求められる知識がOT・ICSセキュリティです。本記事では次の内容を解説します。
- OT(Operational Technology)とITのセキュリティ優先順位がなぜ逆転するのか
- ICS・SCADA・PLC・HMIそれぞれの役割と配置
- エアギャップをUSBが突破するメカニズムと、Stuxnetが示した教訓
- IT/OTコンバージェンスが生む新たなリスクと防御フレームワーク(Purdueモデル・ISA/IEC 62443)
- SC試験での出題パターンと得点につなげる解法のポイント
CIO時代(2005〜2008年)、委託元から課された情報管理ルールを現場に徹底させるのに苦労した記憶があります。書面でルールを整備しても、現場の多忙さや「自分は大丈夫」という感覚がルールの形骸化を生みます。ルールを決めることと、それを現場で確実に機能させることは別の問題です。陸自事件で起きたことは、多くの組織が潜在的に抱えているリスクと本質的に同じです。
止められないシステムであるOT・ICSとは何か
OTとITの違いを理解することは、OTセキュリティの出発点です。「ITのセキュリティを知っているから大丈夫」という感覚でOT環境に臨むと、対策の方向性が根本からずれます。
OT(Operational Technology)とITの根本的な違い
IT(Information Technology)は、データの処理・伝達・保存を担う技術で、業務システム・Webサービス・メールなどが該当します。一方、OT(Operational Technology)は物理的な機器や工程をリアルタイムで監視・制御する技術であり、工場の製造ライン、電力グリッド、ガスパイプライン、水処理施設などに組み込まれています。
最も本質的な違いは「止まったとき何が起きるか」です。
ITシステムへの攻撃を受けた場合、感染サーバーを即座に隔離・シャットダウンすることが最優先の対応になります。これはITセキュリティの基本戦術です。
OTシステムで同じことをすれば、発電所のタービンが緊急停止し、工場の生産ラインが突然止まり、化学プラントで冷却機構が停止して爆発・漏洩が発生しえます。停止そのものが物理的な被害に直結します。
このためOTでは可用性(Availability)が最優先となり、ITで重視される機密性(Confidentiality)は相対的に後回しになります。情報セキュリティの基本原則であるCIA(機密性・完全性・可用性)の優先順位が、ITとOTで逆転するのです。
| 観点 | IT | OT |
|---|---|---|
| セキュリティ優先順位 | 機密性 → 完全性 → 可用性 | 可用性 → 完全性 → 機密性 |
| 停止への対応 | 即時隔離・シャットダウン | 原則として稼働継続 |
| ライフサイクル | 3〜5年 | 15〜30年 |
| パッチ適用 | 定期適用が原則 | 稼働中は困難・長期未適用も多い |
| リアルタイム要件 | 低〜中 | 非常に高い(ミリ秒〜マイクロ秒単位) |
| ネットワーク環境 | インターネット接続が前提 | クローズドネットワーク・エアギャップが多い |
SC試験の学習を始めたばかりの頃、CIAをそのままOTに当てはめようとする人が多いです。「機密性を守れない環境はセキュリティが弱い」という発想は、OT環境の実態を無視しています。OTで機密性よりも可用性を優先するのは「セキュリティが甘い」のではなく、「物理的現実への合理的な対応」だという認識を持つことが重要です。
ICS・SCADA・PLC・HMIの役割と構成
ICS(Industrial Control Systems:産業制御システム)は、OT領域の制御システム全体を指す総称です。その傘下に複数のコンポーネントが階層的に配置されます。
SCADA(Supervisory Control and Data Acquisition)は、地理的に分散した設備(変電所、パイプライン、水処理場)を中央から監視・制御するシステムです。現場からデータを収集(Data Acquisition)し、システム全体の状態を監視(Supervisory)し、必要な制御コマンド(Control)を発行します。単一の工場内ではなく、広域インフラの管理に使われることが多いです。
PLC(Programmable Logic Controller)は、工場や施設の現場に設置される産業用制御コンピュータです。センサーからの入力を受け取り、あらかじめプログラムされたロジックに基づいてアクチュエーター(モーター、バルブ、ポンプ)を制御します。ミリ秒単位でのリアルタイム制御が要求され、汎用PCとは根本的に異なる堅牢な設計が施されています。Stuxnetが狙ったのもSiemens製のこのPLCです。
HMI(Human-Machine Interface)は、オペレーターがシステムの状態を視覚的に把握し、制御コマンドを入力するための操作画面です。かつては専用の計器盤や操作パネルが使われていましたが、近年はWindowsベースの汎用PCで動くソフトウェアが採用されることが増えました。これがセキュリティ上のアタックサーフェスを広げています。
DCS(Distributed Control System:分散制御システム)は、石油精製・化学プラントのような大規模な連続プロセス管理に使われます。複数の制御ノードが協調して、一貫したプロセスを維持します。
RTU(Remote Terminal Unit:遠隔端末装置)は、通信インフラが整備されていない遠隔地(山間部の変電所、離島のポンプ場)に設置され、現地のセンサーデータをSCADAサーバーへ送信する中継装置です。
重要インフラとサイバー攻撃リスク
日本では、2025年7月に内閣サイバーセキュリティセンター(NISC)を改組して設置された国家サイバー統括室(NCO:National Cybersecurity Office)が中心となり、重要インフラとして情報通信・金融・航空・空港・鉄道・電力・ガス・政府行政・医療・水道・物流・化学・クレジット・石油の14分野を指定しています。これらの大半でOT/ICSが稼働しています。
2021年5月、米国東海岸のガソリン・ジェット燃料輸送の約45%を担うColonial Pipelineがランサムウェア攻撃を受け、数日間の操業停止に追い込まれました。攻撃を受けたのはITシステムでしたが、事業者がOT側への波及を懸念して自主的にパイプラインを停止しました。IT/OTの境界が曖昧になるにつれ、IT側への攻撃がOTの機能不全を引き起こす事例が現実のものとなっています。
Stuxnetと陸自事件に学ぶUSB経由のエアギャップ突破
「ネットワークから切り離せば安全」という発想は、OT環境での防御の基本でした。しかしその前提が崩れたことを世界に証明したのがStuxnetであり、2025年の陸自事件は同じ手口が今も有効であることを示しました。
エアギャップとは何か
エアギャップ(Air Gap)とは、システムをネットワークから物理的に完全に切り離す設計です。ケーブルを繋がない、無線を使わない、インターネットへのルーティングを持たない―これにより遠隔からのネットワーク攻撃は原理的に不可能になります。
各国軍・自衛隊の指揮系統・原子力発電所の制御系・選挙管理システムなど、極めて高い機密性や安全性が求められる環境で採用されます。
しかし人間がUSBメモリーを物理的に持ち込む行為は、いかなるネットワーク防御も無効化します。エアギャップが守るのはネットワーク経由の攻撃だけであり、「物理的な媒体の持ち込み」は別次元の問題です。
世界初のOT標的型マルウェアStuxnet(2010年)
2010年に発見されたStuxnetは、特定の物理的インフラを破壊することを目的として設計された、世界初のマルウェアとして知られます。標的はイランのナタンズ核燃料濃縮施設でウラン遠心分離機を制御するSiemens製PLC(Simatic S7-315/S7-417)でした。
Stuxnetの感染フローと攻撃手口:
- USB経由の侵入:エアギャップ環境に持ち込まれた感染USBから、Windowsのゼロデイ脆弱性を悪用してWindowsマシンに潜伏します。Stuxnetは4件のゼロデイ脆弱性を同時に活用しており、その技術水準は国家レベルの関与を示唆するものでした。
- ネットワーク内部での横展開:Windowsのプリントスプーラーや共有フォルダの脆弱性を悪用し、エアギャップ内のネットワークで感染を広げます。
- 標的の特定と選別:Siemens Step 7(PLCプログラミングソフト)が動作する端末を特定し、さらにイランの核施設に特有のPLC設定(特定の遠心分離機数・周波数コンバーターの組み合わせ)を確認した場合のみ攻撃を実行します。それ以外の環境では静かに潜伏するだけでした。
- PLC制御コードの書き換え:PLCに送られる制御コマンドを改ざんし、遠心分離機の回転速度を正常範囲外に変動させて機械的に損傷させます。
- 監視システムへの偽装:オペレーターのHMI画面には「正常値」を返し続け、異常を察知されないようにしました。物理的な破壊と情報の欺瞞を組み合わせた高度な攻撃です。
陸上自衛隊機密システム感染事件(2025〜2026年)の3つの教訓
陸自の事件を「特殊なケース」と片付けることはできません。むしろ多くの組織が同じ構造的問題を抱えています。
教訓① サプライチェーン汚染としてのデバイス偽造
問題のUSBは市場価格の約半額でネット通販で販売されていた偽造品でした。外観は本物と区別がつかないが、内部のメモリーが安価なmicroSDカードに置き換えられており、そこにマルウェアが仕込まれていました。「安いから購入した」という判断が、セキュリティの起点であるデバイスの真正性確認を飛ばしてしまった。信頼できる調達先からの購入と、接続前のデバイス真正性確認(デバイスIDホワイトリストや専用スキャンステーションの利用)は、組織規模に関わらず必要な対策です。
教訓② ルールの形骸化
小泉防衛大臣が記者会見で「ウイルスチェック実施の規則が遵守されていなかった」と明言したとおり、ルールは存在したが現場では守られていませんでした。「ルールを作った」ことで対策が完結したという安心感がもっとも危険です。技術的な強制力(USBホワイトリスト制御)とルールの組み合わせでなければ、運用の抜け穴は必ず生まれます。
教訓③ 検知の遅れ―「動作が遅い」でようやく気づく
発覚のきっかけは、隊員が「コンピューターの動作が遅い」と感じたことでした。1年近く感染を継続できたのは、適切なエンドポイント監視や異常検知が機能していなかったことを意味します。EDRやOT向けSIEMが導入されていれば、マルウェアによる異常な通信や挙動を早期に検出できた可能性があります。
IT/OTコンバージェンスが生む新リスク
かつてOT環境はスタンドアロンか専用回線のクローズドネットワークが大半でした。それが変わりつつあります。
なぜOTがネットワークに接続されるようになったか
2つの要因が変化を牽引しています。
IIoT(Industrial IoT)とスマートファクトリー化:工場設備の稼働状況・消費電力・品質データをリアルタイムでクラウドに集約し、AIで生産効率を最適化するスマートファクトリーの実現には、OT側をネットワークに接続する必要があります。日本政府の「Society 5.0」「DX推進」という政策トレンドも、IT/OT統合を後押ししました。
リモートメンテナンスのニーズ:海外ベンダーのエンジニアがVPN経由でPLCにアクセスしてファームウェアを更新する、という遠隔保守が一般化しました。現地出張コストを削減できる一方で、外部からOTへのアクセス経路が生まれます。
パッチを当てられないOT特有の脆弱性
OT機器には「パッチを当てることが構造的に困難」という問題があります。
- 長期稼働・無停止要件:発電所や水処理施設では24時間365日の稼働が前提。パッチ適用のための計画停止を年に数回しか取れないか、あるいは全くできないケースもあります
- 古いOSの継続稼働:15〜30年前に設計されたSCADAソフトウェアがWindows XPやWindows CE上で動き続けているケースがあります。Microsoft社のサポートが終了した後も、SCADAソフトウェアの互換性維持のために更新できません
- ベンダー認定の壁:「パッチを適用すると製品保証が失効する」「動作検証に数ヶ月かかる」というベンダー事情から、パッチ適用が先延ばしにされます
NIST SP 800-82(Guide to Industrial Control Systems (ICS) Security)は、これらの制約を前提とした補完的防御として、ネットワーク分離の強化・仮想パッチ(IPSによるシグネチャベース防御)・ログ監視の強化を推奨しています。
OTを狙った主要攻撃事例
TRITON/TRISIS(2017年):サウジアラビアの石油化学施設のSIS(Safety Instrumented System:安全計装システム)を標的にしたマルウェアです。SISはプラントが危険な状態に陥ったときに自動的に安全停止させる「最後の防衛ライン」であり、そこを無効化しようとしました。物理的な爆発・火災を引き起こすことを意図した攻撃として初めて確認された事例として知られます。発覚したのはマルウェアのバグによりプラントが予期せず停止したためでした。
Industroyer(2016年):ウクライナの変電所を標的にし、IEC 60870-5-101、IEC 61850などのOT専用プロトコルを直接操作して停電を引き起こしました。特定のベンダー製品に依存せず、OTプロトコルそのものを攻撃できるフレームワーク型の構造が特徴です。
これらの事例に共通するのは、攻撃者がOT環境の仕組みを深く理解した上で、物理的な影響を狙って設計されている点です。
OTセキュリティの防御フレームワーク
OTセキュリティの防御は「ITセキュリティの延長」ではなく、OT固有の制約に合わせた独立した設計が必要です。
Purdueリファレンスモデルとゾーン分割
OTネットワーク設計の標準的なフレームワークとして広く使われるのがPurdueリファレンスモデル(Purdue Enterprise Reference Architecture)です。制御システムをレベル(Level 0〜4)に分類し、各レベル間の通信を制限することで、攻撃の横展開を防ぎます。
| Level | 区分 | 主なコンポーネント |
|---|---|---|
| Level 0 | 物理プロセス層 | センサー・アクチュエーター・モーター・バルブ |
| Level 1 | 基本制御層 | PLC・RTU・安全計装システム(SIS) |
| Level 2 | 監視制御層 | HMI・SCADAサーバー・エンジニアリング端末 |
| Level 3 | 製造管理層 | MES・ヒストリアンサーバー |
| Level 3.5 | 産業用DMZ(IDMZ) | データ変換サーバー・ファイル転送ゲートウェイ |
| Level 4 | 企業IT層 | ERP・メール・Webシステム・インターネット接続 |
Level 3.5のIDMZ(Industrial DMZ:産業用非武装地帯)が設計上の核心です。OT側とIT側の間にDMZを設置し、両者が直接通信するのではなく、必ずIDMZを経由させます。ここでデータのフォーマット変換・ウイルスチェック・アクセス制御を行います。
OT側からIT側への一方通行しか許可しない「データダイオード(光ファイバーによる物理的な一方向通信装置)」を使えば、ITからOTへの不正な制御コマンド送信をハードウェアレベルで防げます。ネットワーク接続はしながらもOTへの書き込みを物理的にできなくする設計です。
ISA/IEC 62443によるセキュリティレベル(SL)評価
OT向けの国際セキュリティ標準としてISA/IEC 62443があります。IECとISA(International Society of Automation)が共同で策定し、工業用制御システムのセキュリティ要件を体系化した標準群です。
ISA/IEC 62443の中核概念は「ゾーン(Zone)」と「コンジット(Conduit)」です。ゾーンはセキュリティ要件が共通する資産のグループ、コンジットはゾーン間の通信経路を指します。各ゾーンにはセキュリティレベル(SL:Security Level)が割り当てられます。
| SL | 想定する攻撃者 | 対策水準 |
|---|---|---|
| SL 1 | 意図しない・偶発的な違反 | 基本的な対策(アクセス制御・パスワード管理) |
| SL 2 | 動機のある一般的な攻撃者 | 認証・暗号化・監査ログ |
| SL 3 | 洗練された組織的攻撃者 | 多要素認証・ネットワーク分離・詳細監視 |
| SL 4 | 国家レベルの組織的攻撃 | 最高水準の対策(物理的安全・高度な暗号化) |
制御・安全系(Level 0〜1)ではSL 3〜4が目標とされ、企業ITゾーンはSL 1〜2が一般的です。
ルールだけでは守れないUSB制御の実装
陸自事件の教訓から、USB管理には技術的な強制力が不可欠です。
デバイスホワイトリスト管理:組織が支給・登録した特定デバイスのみ接続を許可する仕組みです。デバイスのベンダーID・プロダクトIDレベルではなく、シリアル番号レベルで管理することが望ましいです。WindowsのグループポリシーやEDRのUSB制御機能で実装できます。
USBスキャンステーション:OT環境に持ち込む前に、専用のスタンドアロン端末でマルウェアスキャンを実施するプロセスです。スキャン通過済みを示す物理的なシールやタグをデバイスに貼る運用と組み合わせることで、「スキャン済みかどうか」を目視確認できます。
書き込み禁止ポリシー:OT端末でのUSBへの書き込みを禁止し、読み取り専用に制限します。OTからのデータ持ち出しを防ぐ観点からも有効です。
物理的ポート施錠:使用しないUSBポートに物理的なロック/キャップを装着します。「物理的に挿せない」状態を作ることで、うっかり接続というリスクを完全に排除します。
今日ではUSBメモリの接続そのものをシステムで制御できます。読み取り専用への制限や接続拒否を管理コンソールから一括設定できる時代です。CIO時代(2005〜2008年)、同じことをActive Directoryのグループポリシーで実装しようとしましたが、設定の反映に時間がかかり、適用されない端末が続出しました。現場は使いたい、経営層は持ち出しを禁じたい、仕組みはあるが運用が安定しない。三者の板挟みで苦労した当時を、今では懐かしく思います。
OT環境の異常検知・監視
パッチを当てられないOT機器を守るには、「侵入を防ぐ」だけでなく「侵入を素早く検知する」能力が重要になります。
OT専用の資産管理・異常検知ソリューション(Claroty・Dragos・Nozomi Networksなど)は、OTプロトコル(Modbus・DNP3・IEC 61850・PROFINET)をパッシブに解析し、通常の通信パターンから逸脱した挙動を検知します。エージェントレスで動作するため、OT機器に手を加えずに導入できる点が重要です。
陸自事件で「動作が遅い」でしか気づけなかった背景には、こうした監視ツールの不在があります。1年近く気づかれなかった事実は、異常検知の重要性を如実に示しています。
SC試験での出題パターンと対策
午前IIでの出題傾向
OT・ICS関連の知識は近年の午前IIで出題頻度が高まっており、用語の定義・役割の区別が中心となります。以下のポイントを整理しておくと確実です。
OTとITのCIA優先順位:OTでは可用性が最優先であることとその理由(停止が物理的被害に直結する)を問われます。「OTでは機密性より可用性を重視する」という事実を根拠とともに説明できること。
SCADA・PLC・HMIの役割:SCADAは「広域の分散システムを監視・制御する」、PLCは「現場の機器をリアルタイムに制御する」、HMIは「オペレーターの操作画面」という役割の違いを整理しておきます。「SCADAがリアルタイム制御をする」という誤解は試験でも引っかけとして出やすいです。
エアギャップとその限界:エアギャップはネットワーク攻撃を防ぐが、USBなどの物理的媒体による侵入は防げないことを理解していること。
Stuxnetの概要:PLCを標的にした最初のOT専用マルウェアとして、USB経由でエアギャップを突破した点は基本知識として押さえておきます。
ISA/IEC 62443:OT向けの国際セキュリティ標準として、ゾーンとコンジットによるネットワーク分割の考え方が問われることがあります。
午後問題での出題パターン
午後問題では、OT環境のネットワーク構成図や事例が与えられ、セキュリティ上の問題点を指摘させる形式が想定されます。
よくある設問の型:
- 「OTネットワークとITネットワークが直結しており、攻撃が横展開できる構成の問題点を述べよ」→ IDMZを介した分離の必要性を答える
- 「USBメモリーを業務で使用する手順として適切なものを選べ」→ スキャンステーションの使用・ホワイトリスト確認を答える
- 「OT機器にパッチを適用できない場合の代替対策として何が有効か」→ IPSによる仮想パッチ・ネットワーク分離・監視の強化を答える
記述問題の答案では、「なぜそれがリスクなのか」を論じる際に、OT特有の制約(可用性優先・パッチ困難・長期稼働・古いOS)を根拠として明示することで論理の軸が通ります。「ITと同じ対策をなぜOTに適用できないか」という問いを常に意識しながら読解するとよいでしょう。
【演習】OT・ICSセキュリティ理解度チェック(全10問)
OT・ICSセキュリティは、午前IIでは「OTとITの違い」「SCADA・PLC・HMIの役割」「エアギャップの限界」を問う用語問題が中心です。午後では「なぜこのOT構成がリスクか」「どの対策が有効か」を記述させる形式が増えています。引っかけとして頻出なのが「エアギャップ=完全に安全」という誤解と、「OTでもCIAは機密性優先」というIT基準の誤適用です。以下の練習問題で本記事の理解度を確認してみましょう。
まとめ:「繋がる工場」時代のOTセキュリティを理解する
陸上自衛隊の機密システム感染事件は、「ネットワークから切り離せば安全」という防御の前提が、1本のUSBメモリーで崩れることを改めて示しました。Stuxnetが2010年に証明した手口は、2025年の日本でも有効でした。
OTセキュリティで押さえるべき3つの核心を整理しておきます。
① CIAの優先順位がITと逆転することを理解する:可用性最優先という制約は、対策の設計思想を根本から変えます。「止めて直す」という常套手段が使えない環境で何ができるかを問われるのがOTセキュリティの本質です。
② パッチが当てられない前提で多層防御を設計する:ネットワーク分離・仮想パッチ・異常検知の組み合わせがパッチ適用できない機器を守ります。IDMZによるIT/OT境界の分離は特に重要な対策です。
③ USB管理はルールだけでなく技術的制御で担保する:ホワイトリスト管理・スキャンステーション・物理ロックの組み合わせで、「気づかずに挿してしまう」を防ぎます。陸自事件の本質は技術的強制力の不在でした。
SC試験では「ITとOTの違い」を問う問題が増えています。「ITと同じ対策をOTに適用しようとしたが何が問題か」という設問形式には、可用性優先・パッチ困難・長期稼働の三点を根拠として答案に組み込むと論理の軸がブレません。
本記事は情報処理安全確保支援士(SC)試験対策を目的として作成しています。