運用技術のセキュリティにおいて Purdue モデルは時代遅れ？

運用技術（OT）と産業用制御システム（ICS）のセキュリティに適用される Purdue リファレンスモデルは、今日広く使われている重要なフレームワークです。技術革新が進む中でもその有用性は揺らいでいません。

しかし、技術の急速な進化とサイバー脅威の高度化により、このモデルが昨今のセキュリティの課題に対応できているかどうか疑問が投げかけられています。

製造メーカーが新技術を採用している中で、Purdue モデルにも見直しが必要なのでしょうか？その答えは「イエス」です。では、製造メーカーは具体的に何をすればよいのでしょうか？

Purdue モデルがこれほど長期にわたり支持されてきた理由は、複雑な製造システムを管理しやすいコンポーネントに分解できる点にあります。システムがセグメント化されることで、大規模組織内の IT 運用などの他のシステムが侵害されても、製造業務の中核部分の運用を継続できます。しかし、新しい製造技術が登場するにつれて、Purdue モデルは時代遅れになりつつあります。

1990 年代に開発された Purdue モデルは、OT と IT システムがほとんど相互接続されていなかった時代には脚光を浴びました。今日、製造業や産業界では、産業用 IoT （ IIoT ）デバイスやリアルタイム生産データのクラウドベース分析など、新技術を取り入れる企業が増えている中で、OT と IT の連携が一段と進んでいます。

これら 2 種類のシステムの連携が進むことで、両者の境界線は曖昧になってきています。その結果、製造企業はこのモデルに沿って運用することに苦労しています。ほぼ OT に特化して設計された Purdue モデルは、OT と IT が統合されたシステムに対しては、硬直的で階層構造も強固すぎるのです。

Purdue モデルは、自動化・制御システムの設計と保護に関する理論的かつ実践的なフレームワークとして、今なお重要な役割を果たしています。このモデルでは、産業環境が階層構造に分解されます。これにより、製造企業はネットワークをセグメント化し、セキュリティ対策を講じることで、異なるシステムコンポーネント間の連携をより厳密にコントロールできます。

エアギャップ（企業 LAN やインターネットなどの外部ネットワークからの隔離）という手法は、SCADA（監視制御とデータ収集システム）サーバーや、より低レベルの自動化技術へのヒューマンマシンインターフェイスなど、リアルタイム生産システムを停止させ、高額な費用負担につながる恐れのあるサイバー脅威リスクを最小限に抑えるように設計されています。

Industry 4.0（第 4 次産業革命）や、エッジおよびクラウドコンピューティングの利用が拡大し、それと密接に関連する Manufacturing 4.0 のような新しい標準の出現にもかかわらず、Purdue モデルの一部の原則は、製造業界や産業界にとって依然として重要な役割を担っています。しかし、OT と IT の統合が進むにつれて、製造企業における Purdue モデルの適用方法も変化しています。Purdue モデルが定義する個別のレベル、特にレベル 3 からレベル 5 までの境界（運用制御、OT と IT の DMZ、企業ネットワークレベル）は、以前のような明確さを失い、曖昧になっています。

同様の流れの中で、クラウドコンピューティングにより、複雑な演算処理やデータの保存を、OT 環境の外で管理されるリモートコンピューティングリソース（物理、仮想、クラウドベース）に移行することが可能になりました。こうした変化によって、リアルタイムで発生する大量のテレメトリデータを処理する際の拡張性と柔軟性が増し、コスト効率化が進みましたが、その一方で、OT システムと IT システムの安全性と信頼性は、相互に依存する関係になりました。OT と IT の統合が進むことで、産業システムはこれまで以上に幅広いサイバー脅威にさらされることになります。

製造企業は、新たなセキュリティ上の課題に対処するために、Purdue モデルを適応させる必要があります。このモデルは、思いのほか柔軟性に優れています。それは、このモデルが物理的な階層ではなく、論理的あるいは機能的な階層構造だからです。コンポーネントの物理的な配置は変わっても、Purdue モデルが規定する各レベルの機能的役割と責任はおおむね維持されます。

たとえば、製造企業はエッジデバイスをモデルの下位レベルの一部として扱うことで、エッジコンピューティングをモデルに統合することができます。同様に、上位レベルを拡張してクラウドベースのサービスやアプリケーションを含めることで、このモデルをクラウドコンピューティングに対応させることもできます。

このように適応することで、エッジとクラウドコンピューティングにより、Purdue モデルが重視するコンポーネントの分離を維持しながら、より強化されたデータ処理、ストレージ、分析機能を提供できます。

このモデルをエッジとクラウドコンピューティングに適応させると、新たな課題が発生します。たとえば、オンプレミスシステムとクラウド間の安全で信頼性の高い通信の確保、データ遅延の管理、攻撃対象領域の拡大への対策などです。

クラウド環境は変化が激しいため、クラウドの構成やサービスが急速かつ頻繁に変更されることで、セキュリティとコンプライアンスの管理が複雑になる恐れがあります。その結果、製造企業は、暗号化、安全な通信プロトコル、継続的な監視、EDR のようなより強固なエンドポイントセキュリティ対策など、堅牢なセキュリティ対策を実装する必要があります。

また、データ管理とアクセスに関する明確なポリシーと手順を確立し、クラウドとエッジコンピューティングのメリットと、運用のレジリエンスとセキュリティの確保の間でバランスを維持する必要があります。

OT リソースへのアクセス、認証、承認の手段として、ゼロトラストモデルは一般的なアプローチですが、OT システム特有の制約に応じた柔軟な実装が不可欠です。たとえば、多くの OT システムは、最新のサイバーセキュリティエージェントをサポートできない非常に古いバージョンの Windows で稼働しており、同等のセキュリティを提供するためには、プロキシを用いたセキュリティや、きめ細かなネットワークセグメンテーションが必要になる可能性があります。

製造メーカーは、Purdue モデルを放棄したり抜本的に変更することなく、統合された OT と IT 環境を保護できるソリューションを必要としています。このモデルを現在の相互接続された環境に適応させる手段が求められています。

OT 向け Acronis Cyber Protect は、製造メーカーが求める機能を提供します。このソリューションは、Purdue モデルとシームレスに統合されるだけでなく、統合環境向けに堅牢な保護・管理機能も提供します。重要な機能は以下の通りです。

Acronis Management Server と集中管理型 Acronis Monitoring Hub により、IT 環境と OT 環境間の安全な通信と管理を確保できます。Purdue モデルのレベル 2、3 、3.5 では、Acronis エージェントをヒストリアン、SCADA サーバー、ヒューマンマシンデバイス（HMI）などの OT システムに導入することができ、製造企業は統合された OT と IT 環境でバックアップとリカバリを実行できます。エージェントはオプションとして、OT システムを標的にしたサイバー脅威を大幅に低減・緩和できるランサムウェア対策などのサイバーセキュリティ機能を提供できます。

統合された OT/IT 環境において、Acronis エージェントは Purdue モデルのエンタープライズおよびビジネスネットワークレベルのシステム全体にもインストールすることができ、フロントオフィス、バックオフィス、および一般的な生産性向上アプリケーションに統合されたサイバーセキュリティと安全なバックアップを提供します。

OT 向け Acronis Cyber Protect を使用して、OT と IT システムの両方を保護することで、IT 部門は単一のコンソールからバックアップとセキュリティの運用を監視および管理できます。単一の視点からの管理により、管理プロセス運用がシンプルになり、製造メーカーは、IT と OT チームの統合を進めながら、全体的な効率性、有効性を高めることができます。

ネットワークを統合的に可視化することで、管理者は問題を迅速に特定して修正することができ、IT と OT の両システムの安全性と運用性を確保できます。マルチテナントのデプロイメントモデルにより、製造メーカー内で通常分かれている IT チームと OT チームが、それぞれ独立したままで運用を継続できます。OT 向け Acronis Cyber Protect は、組織全体のバックアップとセキュリティ運用を統一的に可視化する機能を引き続き提供します。

OT 向け Acronis Cyber Protect は、OT と IT の融合をもたらすクラウド技術やその他の先進技術に Purdue モデルを適応させる機能を製造企業に提供します。このソリューションにより、製造メーカーは効率を高め、OT と IT システムの安全な統合を実現できます。