通信帯域に制限がある環境でもOT機器の出荷前セキュリティ検査を効率化する技術を開発

　日立は、工場や電力設備などで使われるOT*1機器の出荷前セキュリティ検査を、機密情報を外部に渡さず、通信帯域に制限がある(10Mbps～100Mbps)環境*2でも効率的に実施できる技術を開発しました。OT機器の安全性確認では、疑似的な攻撃を繰り返して弱点を見つける検査*3が有効です。しかし、検査には専門的な設備やノウハウが必要なために外部機関に委託する場合があり、その際、ソースコードなどの機密情報を開示しにくいことが課題でした。加えて、通信帯域に制限がある環境では、検査の進み具合を示すカバレッジビットマップ*4の送受信が通信のボトルネックとなり、検査回数を増やしにくい状況でした。本技術は、製品ごとに異なる接続方法を検査用ソフトウェアの工夫で共通化し、決められた入出力インタフェース*5に対応するだけで検査を実施できます。さらに、カバレッジビットマップは変化した部分だけを送信し、変化がない場合は過去の類似データのIDのみを送ることで通信量を抑えます。検証の結果、検査ツール側の受信トラフィックを10分の1に削減し、精度を維持したまま網羅性を10～30%拡大できることを確認しました。

　日立は、社内適用とOT製品ベンダーや検査事業者との実証を通じて、出荷前セキュリティ検査の標準化・省力化を進め、重要インフラの安定稼働とレジリエンス向上に貢献します。

*1 OT: Operational Technologyの略。工場や電力設備など、現場の機器を制御するための機器・システム。

*2 通信帯域に制限がある環境: 対象機器が低速な通信規格しかサポートしない、検査側との間に距離があるなどの理由により、通信帯域に制限が生じる環境。

*3 疑似的な攻撃を繰り返して弱点を見つける検査: ペネトレーションテスト(疑似的な攻撃で弱点がないか確認する検査)やファジング(入力データを大量に変化させて試し、想定外の動作から弱点を見つける検査手法)など。

*4 カバレッジビットマップ: 検査で試せた動作パターン(どこまで動かせたか)を示す情報。

*5 入出力インタフェース: 検査に必要な情報をやり取りするための決められた入出力の仕様。カバレッジビットマップを検査ツール側に送るフォーマットやプロトコルなどが定められており、OT機器メーカーはこの仕様に従って、プログラムを検査対象機器側に導入することで、テストを実施できます。

■背景および課題

　工場や電力設備などの重要インフラを狙ったサイバー攻撃が増加し、法規・規制への対応も含めて、OT機器には、より高度なセキュリティ対策が求められています。特に、製品出荷前に脆弱性を発見して修正することは、運用開始後の被害を抑えるうえで重要です。OT機器の安全性確認では、疑似的な攻撃を繰り返して弱点を見つける検査(ペネトレーションテストやファジング)が有効です。しかし、検査を実施する外部機関にソースコードなどの機密情報を開示することが難しい場合も多く、外部機関による検査における高度な検査手法の適用が進みにくい状況となっていました。また、通信帯域に制限がある環境では、カバレッジビットマップの送受信に通信負荷がかかり、検査回数が不十分となることから、検査の効率化が求められていました。

■課題を解決するために開発した技術・ソリューションの特長

　そこで日立は、機密情報を開示せずに通信帯域に制限がある環境でもOT機器の出荷前セキュリティ検査を効率化する技術を開発しました。技術の特長は以下の通りです。

1. 機密情報を開示せずにセキュリティ検査を可能にする入出力インタフェース

　OT機器の検査では、検査ツールと機器の接続方法が製品ごとに異なり、その調整が導入の手間になっていました。本技術では、製品ごとの違いを検査用ソフトウェアの工夫で共通化し、検査に必要な情報だけをやり取りする入出力インタフェースを定義しました。これにより、外部の検査機関にソースコードなどの機密情報を開示せずに、ペネトレーションテストやファジングなどの検査を実施できます。

2. 通信帯域に制限がある環境でも通信負荷を抑えるフィードバックデータ転送方式

　検査では、検査の進み具合を示す情報(カバレッジビットマップ)を検査ツール側に戻し、次に試す入力データを調整します。従来方式ではカバレッジビットマップを都度転送するため、通信帯域に制限がある環境では通信負荷がかかり、検査回数が不十分となることがありました。本技術は、カバレッジビットマップの変化した部分だけを送信し、変化がない場合は過去の類似データのIDのみを送ることで通信量を抑えます。

■確認した効果

　通信速度が10Mbps～100Mbpsの通信帯域に制限がある環境で、OTで用いられるWebサーバを想定して評価した結果、従来方式と比べて、検査ツール側の受信トラフィックを10分の1に削減し、検査の精度を維持したまま網羅性を10～30%拡大できることを確認しました。これにより、時間当たりの検査回数を増やすことが可能となり、検査の効率化を実現します。

　なお、本成果の一部はNEDO(国立研究開発法人新エネルギー・産業技術総合開発機構)の委託事業「経済安全保障重要技術育成プログラム／先進的サイバー防御機能・分析能力強化」(JPNP24003)によるものです。

■今後の展望

　今後、日立は本技術を社内製品の出荷前セキュリティ検査に適用し、重要インフラ向けOT機器のセキュリティを強化するとともに、OT製品ベンダーや検査事業者との実証により、通信帯域に制限がある環境でも実施しやすい検査の標準化・省力化を進めます。また、セキュリティ向上による産業オートメーション強化を通じて、社会インフラ整備・高度化と暮らしの安心・安全を両立するハーモナイズドソサエティの実現に貢献します。

　なお、本成果の一部は4月8日～10日にニュージーランドで開催されたThe 40th International Conference on Advanced Information Networking and Applications(AINA-2026)において発表しました。

■関連情報

　日立の研究開発ウェブサイト

■照会先

　株式会社日立製作所 研究開発グループ

　問い合わせフォームへ