ITとOTとの違いとは?セキュリティ対策のためのポイントも解説!
2024/7/23更新
はじめに
似たような綴りと響きであることから、ITとOTとの関係は誤解が目立つようになってきました。
ITとOTは同一ではなく、別な意味合いと考え方で成立しています。
情報システムやその技術はIT(Information Technology)と呼ぶのに対し、OTとは「Operational Technology」の略称です。
OTのネットワークの中で、ITの技術が活用されているともいえるでしょう。
そこで本記事では、OTとITとの違いを中心に解説しながら、今では社会生活に欠かせない重要なシステムとなった双方の重要な役割や、セキリティに関する内容を盛り込んで紹介します。
OTおよびITの違いを理解した上で、どちらの方面へ就職をしたいのかを判断しましょう。
上京を志す地方学生ならジョーカツ!
あなたのキャリアを加速させるチャンス!
無料で利用できる快適な個室シェアハウス、
東京までの交通費サポート付き
首都圏の注目企業への就活ならジョーカツ
首都圏の学生ならスタキャリ!
理想のキャリアを実現へと導く第一歩!
あなたにピッタリのキャリアアドバイザーを選び、
自分にマッチする優良企業をご紹介
首都圏企業のES添削から面接対策まで、就活ならスタキャリ
この記事の結論
近年よく耳にするITとOTという略称は、同じようでいて根本的に違います。
ITは情報システムのことで、OTはオペレーショナル・テクノロジーを指します。
とくにOTのシステムは、大手製造業や工業プラント、あるいは公共性の高い社会インフラといった大掛かりな設備を稼働させるシステムのことです。
インターネットの発展に伴い、ITとOTは徐々に密接な関係性を深めつつあります。
OT全体のシステム稼働や制御についての指示を、ITシステムから発信できる時代となったからです。
飛躍的なこともありメリットはたくさんありますが、同時にデメリットも抱えます。
巨大な構造をしたOTシステムは常にフル稼働する役目が多く、メンテナンスなど含めて一時停止などをするのにも、相当なリスクを考えなくてはならないからです。
また、サイバー攻撃の標的がITシステムにとどまらず、OTへの侵入にまで至っています。
そのためのセキュリティ対策は、早急に進めなくてはなりません。
ITとはどのような意味か
まずはITとはどのような意味なのかを説明しましょう。
ITが意味するのは、「Information Technology(インフォメーション・テクノロジー)」のことで、その頭文字を取った略称です。
ITは、コンピュータやデータ通信に関連する「情報技術」のことを指します。
コンピュータを駆使しながら、電子的データや情報を作成・処理・保存・取得・交換をする技術です。
今ではITが日常生活へあまりにも浸透し、かえって気づかないまま進行していますが、以下のようなものが対象です。
- サイト閲覧・検索のプラットフォーム提供
- 電化製品および日用品の購入サービス
- アプリによる宅配サービス
- スマホで外出先から家電を稼働させる機能
- 各種予約管理サービス
- 新しいパソコンやOS、スマホの製作
- ファイル共有やメールの送信サービス
ITによって、次世代の技術が毎日のように誕生し、驚異的な速さで進化を遂げています。
近年ではクラウドサービス、AI(人工知能)、5Gなどの技術もITの一環で、セキュリティの需要と強化も必要性を帯びてきました。
IT業界の主な事業
情報技術を活用して、さまざまなサービスや仕組みを形成している業界を「IT業界」と呼びます。
現代社会は、ほとんどがITの技術を利用して稼働しているものと考えてよいでしょう。
世の中のあらゆる仕事・業種の多くは、何らかの形でITの力に頼って形成されてきたことが特徴です。
それらは大きく事業分野によって4つに分類できます。
- Webサービス
- SIer(情報処理)
- パッケージ・プラットフォーム
- ハードウェア
Webサービス
Webサービスとは、Webブラウザおよびスマホのアプリなどで利用可能な、インターネット上でのサービス全般のことです。
一般の人々が、最も日常的に閲覧や実際に利用することが多い分野といえるでしょう。
その中でも最大手のIT企業がGAFA(Google・Apple・Facebook・Amazon)と称される4社です。
DX(デジタルトランスフォーメーション)の登場と一般化により、さらにITと無縁だった企業や業種もWebサービス事業を展開し始めました。
商品購入やSNSサービス、コンテンツ提供サービスの利用など、内容は多岐にわたっています。
なお、2021年よりFacebook,Inc.は「Meta」社と改名しました。
他にもAlibaba、GMO、楽天、LINE、Yahoo!JAPANなどの企業も大手としてあげられます。
SIer(情報処理)
各種企業や行政・団体から依頼されて、要件定義に始まりシステム開発し稼働させる一連の流れを請け負うのが、システムインテグレーションサービス(SI)を提供する企業で、通称SIer(エスアイヤー)と呼ばれています。
仮に、とある販売会社が入出庫数や製品販売データの一括管理ができるシステムを作りたいと依頼があった場合、まずは顧客の要望をヒアリングし課題を洗い出し、対話で決定した概要を下にシステムの全体設計をします。
それを他の下請けのSIerやハードウェア企業などへ依頼し、分担してシステムを開発していくプロジェクトが一般的です。
SIerは大手製造メーカーによるメーカー系や、メーカー系から子会社化などしたユーザー系、利権を挟まず最初からシステム開発をする独立系SIerに分かれます。
主なSIerの代表的企業としては、NTTデータ、富士通、 日立製作所、日本ユニシスなどが有名です。
パッケージ・プラットフォーム
企業の抱える業務効率化やコスト削減などの課題に合わせて、会計自動化ソフト、グラフィック制作ソフト、勤怠管理ソフトといったアプリケーション・ソフトを独自開発して「パッケージ」販売する企業が対象となります。
あるいは、通信インフラサービスによるプラットフォームの提供をする企業です。
主な代表格としては、パッケージ分野でMicrosoft、日本オラクル、トレンドマイクロがあり、プラットホーム分野ではNTTdocomo、KDDI、ソフトバンクなどがあげられます。
ハードウェア
スマホやパソコン、それらの周辺機器など、実物として目に見える製品はハードウェアとも呼ばれます。
回路、装置、機械、設備、施設そのものを開発し商品化するのが特徴です。
近年、あらゆる製品や設備にプログラムが組み込まれはじめ、その範囲は次第に広がっています。
とくに家電業界のIoT化などが事例です。
主な代表的企業としては、Apple、Dell、三菱電機、Panasonic、コマツなどがあげられるでしょう。
OTとはどのような意味か
OTとは、Operational Technology(オペレーショナルテクノロジー)の略称です。
ITが情報システムに関わるものなのに対して、OTとは、機械や設備を働かせる制御システムのことを指します。
その対象は大掛かりなものが多く、交通手段やライフラインといった社会的インフラや、工場などの製造現場の設備プラント、ビルなどのシステム制御や運用のための技術です。
製造業を中心に、石油・ガス、発電・配電、航空、海運、鉄道、公共事業といった、社会生活に必須となった産業や設備のために使用されています。
OTでは、OTデバイスと呼ばれるもので制御されます。
主なOTデバイスとしては、以下のようなものがあげられます。
- PLC (プログラマブルロジックコントローラ)
- RTU (リモートターミナルユニット)
- 産業用制御システム (ICS)
- DCS (分散制御システム)
- HMI (ヒューマンマシンインターフェース)
- SCADA (管理制御およびデータ収集システム)
- IoT (モノのインターネット) デバイス
- IIoT (産業用モノのインターネット) デバイス
使用の取り扱いや用途については、各分野にて環境や状態で異なってきます。
PLC (プログラマブルロジックコントローラ)
PLCとは、生産ラインの自動化やエレベータ、上下水道プラント、ダム、植物工場、遊園地のアトラクション、信号の読み取りと指示出力などの施設で利用されています。
稼働工程はプログラミングされていて、その指示で機械をコントロールしていく方式です。
設備自体がまるでコンピュータのOSを持っていて、自ら動いている感覚といえばよいでしょう。
堅牢で信頼性があることから、環境条件の悪い場所でも動作可能なのが特徴です。
RTU (リモートターミナルユニット)
RTUとは、すべての入出力をリモート・システム上にて操作する仕組みで、直接接続されていない端末です。
そのため、制御や操作はネットワークを介して遠隔地からおこなうことが可能となります。
産業用制御システム (ICS)
ICSは、とくに電力供給・水道・ガス・交通管理といった社会インフラを支えるための重要な施設の中で働く制御システムの総称です。
日々の暮らしの安全性を決定させる大切なシステムといえるでしょう。
DCS (分散制御システム)
DCSは、とくに特定の工場のプラント内の制御に使用し、機能を分散させるためのシステムです。
一点集中したシステムでは安全性が保証されないような環境にて、工程全体を健全に最適化を図ることができます。
HMI (ヒューマンマシンインターフェース)
HMIとは、人間と機械(コンピューター)の間でインターフェース(仲介役)となって機能します。
人と機械・システムが相互にやりとりできる仕組みになっているのが特徴です。
近年、この技術は車の自動運転の技術の中に導入され、快適に乗りこなすことに貢献しています。
SCADA (管理制御およびデータ収集システム)
SCADAも産業用制御システムの一部として機能します。
遠隔地の設備やインフラを監視・制御し、工場やビル、電力網や水道網といった広域のインフラ制御用に活躍中です。
IoT (モノのインターネット) デバイス
モノのインターネットとは、世の中のあらゆるモノがインターネット接続によって情報交換が可能となり相互に制御できる仕組みを指します。
例えば、スマホを用いたスマートロックシステム、遠隔コントロールによる掃除ロボットや自動給餌器、ウェアラブル機器といった生活用品やその関連分野で広く普及し始めてきました。
IIoT (産業用モノのインターネット) デバイス
産業用モノのインターネットは、とくに業務上でのインターネット接続による制御や管理をします。
IoTの場合、自宅などの一般家庭での利便性を追求したものですが、IIoTは、企業にとって生産性向上やコスト削減などの相乗効果も生み出します。
製品の稼働データを収集してビッグデータにて分析した情報を基に、運用・保守をすることが可能です。
わかりやすい事例としては、会社のコピー機のトナー消耗を察知し、次の製品の供給を自動的に発注するようなシステムに採用されています。
OTシステムにセキュリティが必須となった背景
IT業界では既に当たり前となっているのが、セキュリティに対する考え方です。
個人のパソコンにも、ウィルス対策用ソフトやアプリなどを導入します。
そして近年では、OTシステムへのセキュリティ対策が問われるようになりました。
では、なぜセキュリティに注目が集まっているのでしょうか。
理由としては、以下のような社会的背景が考えられるからです。
- OTシステムの環境の変化と脅威
- サイバー攻撃の目的の変化
- 危機意識を持つ企業や組織の増加
OTシステムの環境の変化と脅威
OTのセキュリティが注目されるようになったのは、環境の変化が顕著になったからです。
OTシステムは、元来インターネット接続とは関係のない設備でした。
製造業での生産システムなどは、すべて工場内で導入したハードウェアを運用していたため、ネットワークなどの外部環境からの影響がなかったのです。
セキュリティ面でも余計な気を使うことがなくリスクも低いものでした。
ところが昨今になって、ITシステムやネットワークとの連携は普通のことになり、外部からの脅威にさらされる危険性が高くなったことが大きいでしょう。
今後は、OTとITの接点を前提に、セキュリティ対策が求められます。
サイバー攻撃の目的の変化
サイバー攻撃の目的が変化してきたため、OTセキュリティにも必要性がでてきたからです。
サイバー攻撃とは、主に個人データを盗むことが目的でした。
しかし現在では、それと同時に、OTシステムのセキュリティの脆弱さを突いて、企業や組織そのものをターゲットに損害を与える目的も加わっています。
サイバー攻撃も時代の流れとともに、多様化していることが理由です。
危機意識を持つ企業や組織の増加
上述した2つの理由を考慮し、OTを導入する工場や企業で脅威の存在を認識して危機意識が高まっていることも理由です。
出典元
IDC、国内企業のIoT/OTセキュリティ対策調査- 36.4%が事件/事故を経験
IDC Japanが2021年2月に国内企業443社へ実施した「IoT/IIoT、OTシステムのセキュリティ対策に関する実態調査」の結果、OTのセキュリティ事件や事故は、全体の36.4%が経験していて、徐々に常態化(前年34.4%)し始めていることが課題となってきました。
対策が不十分な企業もまだあり、セキュリティ強化は早急に検討する必要性がでてきました。
OTが抱える主なセキュリティの問題
OTシステムも、外部からの脅威に備えて、セキュリティ対策が必要となってきた時代です。
しかし、現実的なところで、その進捗状況は必ずしも完全ではありません。
OTの分野では、セキュリティの施行を万全にする前に、まだ重大なリスクを抱えています。
- ラインの稼働条件によってアップデートできない
- 旧態システムで対応が困難になっている
- 機器構成の更新頻度が高く複雑化している
ラインの稼働条件によってアップデートできない
OTシステムにとっての大きな関門として、簡単にアップデートができない点があげられます。
とくにパッチ適用(ソフトウェアにバグが発生した際の修正)などが、たやすくできません。
工場などの大きなプラントや、より社会に密着したインフラのシステムは、リアルタイム制御をすることや、長期間の連続運転をしています。
24時間365日体制の設備も多くあり、アップデートのためのシステム停止をする際は、社会全体に影響を及ぼしかねないためです。
もしおこなう場合には、入念な計画と慎重さが必要となるでしょう。
旧態システムで対応が困難になっている
OTシステムの場合、年数が経過して対応困難な設備もあります。
仮に水道システムでの水道管は、一度設備を整えたらかなりの長期間稼働し続けます。
交換する際にも、大掛かりで頻繁にできるものではありません。
同様に、20年以上の長期スパンで使われているシステムは相当数あり、OSサポートの期間が終了している場合もあります。
あるいは、その当時のシステム構築の担当者がすでに引退しているなど、プログラムの改修にかなり手間取ることが考えられるでしょう。
機器構成の更新頻度が高く複雑化している
工場の場合、生産ライン変更や装置交換などはこまめにおこなわれています。
そのたびに各種機器との接続や更新をすることもあり、手間がかかっているのが現状です。
他にも、モバイル機器やIoT機器などの導入と進歩は日進月歩の勢いで、それらへ対応するスピードが追いつかず複雑化していることも問題点となっています。
OTのセキュリティ対策ポイント
OTシステムのセキュリティは、近年になって早急な対策が求められています。
ただし、先述したように、通年24時間フル稼働する設備や老朽化した設備への対応の問題を抱え、理想通りに進展しているとは限りません。
では、これからOTシステムへのセキュリティ対策を施すためには、どのような点を注意深く考えるとよいのでしょうか。
以下のような内容があげられるでしょう。
- ITとのセキュリティ対策の相違点を知る
- 把握しにくいOTシステムを可視化する
- 稼働中にダメージを与えない方法を考える
- ガイドラインを策定しその後も運営しやすくする
ITとのセキュリティ対策の相違点を知る
OTとITとでは、セキュリティ対策の目的や優先順位が異なっているので、双方を比べて相違点を理解しておきましょう。
情報セキュリティの考え方には「CIA」と呼ばれる概念があります。
- Confidentiality(機密性)
- Integrity(完全性)
- Availability(可用性)
これら3つの要素のそれぞれ頭文字を取った略称です。
IT分野でのセキュリティにおいて最優先すべき要素は機密性でしょう。
なによりも、個人データなどの情報漏洩防止が最大の目的だからです。
一方で、OT分野でのセキュリティでは可用性が重視されます。
産業プラントや社会インフラは停止するわけにはいかないことが多く、通常稼働しながらセキュリティ対策を施せるかが問われてくるからです。
もちろん情報が盗まれることを避けるセキュリティも大切ですが、OT分野での最悪な事態は、稼働したシステムが制御できなくなる危険性です。
人々の命にも関わることなので、慎重におこなわなければなりません。
把握しにくいOTシステムを可視化する
把握が難しいシステム内部は可視化させることが重要です
OTのシステムは規模が大きいこともあり、内外部との接続状況や基本的構成、環境の動向が把握しきれない場合があります。
想定外の要因によって、システムの脆弱性を発覚させやすいのが欠点です。
まず、どのような機器がどのようにネットワーク接続されているのかを可視化するような工夫が重要となるでしょう。
インストールしているOS、ソフトウェア、ネットワーク構成、通信トラフィックなども可視化させ、脆弱性のリスクを未然に防ぐようにします。
サイバー攻撃による侵入や攻撃へ迅速に対応する、モニタリングの恒常化が重要です。
稼働中にダメージを与えない方法を考える
常にフル稼働するOTシステムの根幹へ、ダメージを与えないように配慮が必要です。
OTセキュリティの最優先事項は可用性で、メンテナンスを理由に頻繁に停止させることや、突然停止を招くようなセキュリティは適用できないでしょう。
また、OTシステムの欠点は、ITシステムでの検証用の環境を作ってテストが実施できないことです。
有事を把握し想定する考え方が難しいため、現行のOT環境へ悪影響を与えないセキュリティ対策選びをする必要があります。
ガイドラインを策定しその後も運営しやすくする
セキュリティのガイドラインやマニュアルを必ず策定しておきましょう。
万が一のことに備えて、運用しやすいシンプルな仕組み・ルールの下で運用することが大切です。
理由は、現行の現場責任者などの所在がはっきりしないと、有事の際に迅速に対応できなくなることがあげられます。
他にも、その担当者が異動や退職した後でも、遜色ない正しい対応ができるために必要です。
連絡先や連絡手段、対応方法についてのフローを作成し、マニュアルを共有することで被害を最小限に抑止できる場合もあります。
ITとOTとの融合のメリット
ITとOTは、出生や発想が全く別扱いでした。
しかし、IT分野の飛躍的発展に伴って、今までは縦割り構造だったOT分野でも、双方の機能を統合する動きが活発になっています。
ITとOTの融合では、以下のようなメリットが誕生するでしょう。
- 意思決定が強化される
- 効率性の向上が図れる
- 予測によるメンテナンスも可能になる
- イノベーションが起こる
意思決定が強化される
ITとOTの共存によって、意思決定が素早くなり強化ができます。
OTシステムにて取得されるデータは、ITシステムを通じて分析することが可能となりました。
その分析の敏速さと正確性によって、オペレーションの最適化と意思決定をする洞察の深さも得られるでしょう。
効率性の向上が図れる
ITデータとOTデータの融合により、タスクの自動化、ワークフローの合理化といった業務上での効率が高くなります。
過去のような手動でのデータ入力は減少していき、効率性とともに生産性の向上も期待できるはずです。
予測によるメンテナンスも可能になる
ITシステム導入によって、OTデータが継続的に監視できるようになりました。
その相乗効果の一つは、機器の故障や不具合を予測しながら予知保全のシステムが組めることです。
スケジュール管理しながら定期的に自動でメンテナンスを開始し、悪状況を最小限に抑えつつ、コストダウンにも貢献できます。
イノベーションが起こる
ITとOTの融合によるイノベーションは、これからも益々期待できます。
データ主導型の文化を促進していくことで、製造業やインフラに限らず、医療や各種開発セクターに至る、多くのイノベーションを推進することが可能となりました。
まとめ
一見すると、ITとOTは共通に思われがちですが、根本的に内容が違っています。
ただし、現在のOTシステムは、ITシステムによる作動や制御で仕切られ始めたばかりと思えばよいでしょう。
それまでは、外部ネットワークとの接続がなかった製造プラントや大型工場、社会インフラ設備のシステムは、サイバー攻撃の対象ではありませんでした。
セキュリティ対策自体は、外部から持ち込まれるUSBメモリなどの記憶媒体や保守端末などからのウイルスの抑制だけを気にしていれば問題なかったのです。
ところが、DX化の取り組みが進行し環境は大きく変化しました。
外部ネットワークに接続する設備となり、OTそのものもサイバー攻撃の危険性が高まっています。
ITシステムもOTシステムも、常にセキュリティ対策への積極的な取り組みをする時代となったといえるでしょう。
