重要インフラへのサイバー攻撃が過去最多——OT/ICSセキュリティの危機
2026年第1四半期、重要インフラへのサイバー攻撃件数が前年同期比で67%増加した——産業制御システム(ICS)セキュリティ企業Dragosの最新レポートが、水道、電力、製造業といった社会の根幹を支えるインフラへの脅威がかつてないレベルに達していることを明らかにしました。
特に注目すべきは、中国の国家支援グループ「Volt Typhoon」が米国の重要インフラに長期間潜伏していた事実が相次いで発覚したことです。CISAは2026年2月に「重要インフラへのサイバー攻撃は国家安全保障上の最優先課題」と宣言し、NIST CSF 2.0のOT環境への適用を加速しています。
OT/ICSとは何か
OT(Operational Technology) は、物理的なプロセスを監視・制御するためのハードウェアとソフトウェアの総称です。工場の生産ライン、発電所のタービン、水道の浄水設備、鉄道の信号システムなど、私たちの生活を直接支えるシステムを動かしています。
ICS(Industrial Control System) はOTの中核をなす制御システムの総称で、以下のコンポーネントで構成されます。
- SCADA: 広域の監視制御システム。電力網や水道網全体を管理
- PLC(Programmable Logic Controller): 個別の機器を制御するコンピュータ
- DCS(Distributed Control System): プラント全体の制御を分散処理
- HMI(Human Machine Interface): オペレーターの操作画面
- RTU(Remote Terminal Unit): 遠隔地のセンサーデータを収集
この図は、IT/OTネットワークの融合と攻撃者の侵入経路を示しています。
なぜOT/ICSが狙われるのか
IT/OT融合の進行
かつてOTネットワークはITネットワークから物理的に隔離(エアギャップ)されていました。しかし、スマートファクトリー化、リモート監視、クラウドベースのデータ分析の普及により、IT/OTの融合が急速に進んでいます。Gartnerの調査によると、2026年時点でOT環境の75%が何らかの形でITネットワークに接続されています。
パッチ適用の困難さ
OT環境の最大の課題は、パッチ適用が極めて困難なことです。24時間365日稼働が求められるプラントでは、パッチ適用のためにシステムを停止すること自体がリスクです。結果として、OT環境のパッチ適用頻度は年1〜2回にとどまり、Windows XPやWindows 7が現役で稼働しているケースも珍しくありません。
セキュリティ人材の不足
IT Security とOT Securityの両方を理解する人材は極めて希少です。SANS Instituteの調査では、OTセキュリティ専門家は世界で推定50,000人未満と報告されており、需要に対して圧倒的に不足しています。
2026年の主要脅威アクター
Volt Typhoon(中国)
2023年に初めて公表されたVolt Typhoonは、中国人民解放軍戦略支援部隊(SSF)に帰属するとされるAPT(Advanced Persistent Threat)グループです。2025年から2026年にかけて、以下の重大な発見がありました。
- 潜伏期間: 米国の電力・水道インフラに最長5年間潜伏していたことが判明
- Living off the Land: 正規のWindows管理ツール(PowerShell、WMI、netshなど)のみを使用し、マルウェアを使わない攻撃手法
- 目的: CISAは「台湾有事の際に米国の重要インフラを破壊するための事前配置(pre-positioning)」と分析
Sandworm(ロシア)
ロシアGRU所属のSandwormは、ウクライナの電力網攻撃(2015年、2016年)で知られ、2026年も活動を継続しています。
- Industroyer 3.0: 電力網を標的とする新型マルウェアが2025年後半に確認
- 欧州への攻撃拡大: ウクライナだけでなく、ポーランド、バルト三国のインフラへの攻撃を拡大
ランサムウェアグループ
国家支援グループに加え、ランサムウェアグループも積極的にOT環境を標的にしています。
| 脅威アクター | 帰属 | 主な標的 | 攻撃手法 | 影響レベル |
|---|---|---|---|---|
| Volt Typhoon | 中国PLA/SSF | 米国電力・水道 | Living off the Land | 国家安全保障 |
| Sandworm | ロシアGRU | ウクライナ・欧州電力 | Industroyer マルウェア | 国家安全保障 |
| CHERNOVITE | 不明(国家支援の疑い) | 天然ガスパイプライン | PIPEDREAM フレームワーク | 国家安全保障 |
| LockBit 4.0 | 犯罪組織 | 製造業全般 | ランサムウェア | 経済的被害 |
| RansomHub | 犯罪組織 | 水道・エネルギー | ランサムウェア | サービス停止 |
攻撃件数の推移
この図は、2021年から2026年にかけてのセクター別サイバー攻撃件数の推移を示しています。
2026年の注目すべきインシデントを見てみましょう。
米国水道施設攻撃(2026年1月): テキサス州の小規模水道施設のSCADAシステムが攻撃を受け、塩素注入量の設定が改ざんされました。幸い安全システムが異常を検知して自動停止しましたが、水道水の安全性が一時的に脅かされました。
欧州送電網への攻撃(2026年2月): 東欧の送電事業者が標的型攻撃を受け、一部地域で6時間の停電が発生。攻撃にはSandwormの関与が疑われています。
日本製造業への攻撃(2025年末): 大手化学メーカーのDCSがランサムウェアに感染し、プラントが72時間停止。年間生産量の2%に相当する損失が発生しました。
NIST CSF 2.0のOT適用
米国国立標準技術研究所(NIST)が2024年2月に発表したCSF(Cybersecurity Framework)2.0は、OT環境への適用を大幅に強化しています。
CSF 2.0の6つの機能
- Govern(統治): 新設。組織全体のサイバーセキュリティ戦略と方針を策定
- Identify(特定): 資産、リスク、サプライチェーンの把握
- Protect(防御): アクセス制御、データ保護、セキュリティ意識向上
- Detect(検知): 異常検知、モニタリング、分析
- Respond(対応): インシデント対応、分析、コミュニケーション
- Recover(復旧): 復旧計画、改善
OT環境特有の考慮事項
- 可用性優先: IT環境ではCIA(機密性・完全性・可用性)の順だが、OT環境ではAIC(可用性・完全性・機密性)の順に優先
- 安全性(Safety): OT環境ではサイバーセキュリティと物理的な安全性が直結
- レガシーシステム: パッチ適用不可能なシステムへの代替的保護策の明確化
- サプライチェーン: 制御機器ベンダーのセキュリティ評価の義務化
防御策
OTネットワークの可視化
まず何を守るべきかを把握することが最優先です。OT環境ではIT環境と異なり、資産台帳が整備されていないケースが多く、「どんなデバイスがネットワークに接続されているか分からない」状態がスタートラインです。
OT向けのネットワーク可視化ツール(Claroty、Nozomi Networks、Dragosなど)を導入し、全デバイスの識別、通信パターンの把握、脆弱性の特定を行います。
IT/OT境界の強化
IT/OT境界にDMZ(非武装地帯)を設置し、直接的なネットワーク接続を遮断します。OT環境へのリモートアクセスにはNordVPNなどの暗号化VPN接続を使用し、多要素認証を必須にします。1Passwordで認証情報を厳格に管理し、特にOTシステムの管理者アカウントのパスワード使い回しを排除することが重要です。
異常検知の導入
OT環境の通信プロトコル(Modbus、OPC UA、DNP3など)に特化した異常検知システムを導入します。正常な通信パターンをベースライン化し、異常な命令やデータの変化を検知します。
インシデント対応計画
OT環境のインシデント対応はIT環境と根本的に異なります。「すぐにシステムを停止する」ことが最善とは限りません。化学プラントでは急停止が爆発リスクにつながる場合があり、段階的な安全停止手順が必要です。
OTセキュリティソリューション比較
| ベンダー | 主な製品 | 強み | 対応プロトコル | 価格帯 |
|---|---|---|---|---|
| Claroty | xDome | 包括的な可視化・保護 | 450+ | 要問い合わせ |
| Nozomi Networks | Guardian | AIベース異常検知 | 400+ | $50K/年〜 |
| Dragos | Dragos Platform | 脅威インテリジェンス | 350+ | 要問い合わせ |
| Fortinet | FortiGate OT | FW統合・コストパフォーマンス | 200+ | $20K/年〜 |
| Microsoft | Defender for IoT | Azure統合・無料プラン有 | 300+ | 無料〜 |
日本ではどうなるか
日本は重要インフラのサイバーセキュリティにおいて、特有の課題と機会を抱えています。
NISC(内閣サイバーセキュリティセンター)の動き: 2026年度の「重要インフラ行動計画」改定で、OTセキュリティの基準を大幅に強化。特に電力、水道、交通の3セクターに対して、年1回のセキュリティ監査を義務化する方針を示しています。
製造業の課題: 日本の製造業はDX推進によりIT/OT融合が加速していますが、セキュリティ対策は追いついていません。経済産業省の調査では、OTセキュリティ専任者を配置している製造業は全体の15%に過ぎないと報告されています。
サプライチェーンリスク: 日本の製造業は多層的なサプライチェーンで構成されており、Tier2、Tier3のサプライヤーのOTセキュリティが弱いことが全体のリスクを高めています。2025年の自動車部品メーカーへの攻撃は、完成車メーカーの生産ラインを2週間停止させました。
人材育成: IPA(情報処理推進機構)が2026年度から「OTセキュリティスペシャリスト」認定制度を開始予定。産業界と連携したOTセキュリティ人材の育成が本格化します。
政府の投資: 2026年度予算で「重要インフラサイバー防御強化事業」に350億円を計上。特にOTネットワーク可視化ツールの導入支援と、中小インフラ事業者向けのセキュリティ監視サービスの整備が進められます。
まとめ:今すぐ取るべき3つのアクション
重要インフラへのサイバー攻撃は「if(もし起きたら)」ではなく「when(いつ起きるか)」の問題です。
- OT資産を可視化する: ネットワークに接続されているすべてのOTデバイスの資産台帳を作成。Claroty、Nozomi Networks、Dragos等のツールを活用し、未知のデバイスを特定する。認証情報は1Passwordで一元管理し、デフォルトパスワードを排除する
- IT/OT境界を検証する: 現在のIT/OT間のネットワーク接続を棚卸しし、不要な接続を遮断。DMZの設置、NordVPNによるリモートアクセス保護、多要素認証の必須化を実施する
- OT向けインシデント対応計画を策定する: IT向けとは別に、OT環境専用のインシデント対応計画を策定。プラントの安全停止手順、関係当局への報告フロー、復旧優先順位を明確にし、年2回のテーブルトップ演習を実施する
サイバー攻撃が物理的な被害をもたらす時代です。デジタルの脅威が現実世界に直結するOT環境の保護は、もはや「IT部門の仕事」ではなく「経営課題」です。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星