[https://www.youtube.com/watch?v=SsnfVMBKSps:embed:cite]

令和元年度秋期午後II問2「工場セキュリティの『罠』と『再生』」を題材に、サクラ先輩とモモちゃんがOT環境特有の課題と対策を解説する物語です。ランサムウェア感染から始まったA社の事例を通じ、工場を止めずに守るためのネットワーク分離やデータダイオード、組織的な役割分担など、実務にも役立つセキュリティの要諦を短時間で学びます。 本動画で学習する重要なキーワードは、工場のOT環境をサイバー攻撃から守るための技術的および組織的な概念に基づいています。まず攻撃検知の端緒として登場するのがUser-Agentの確認です。通常のブラウザ閲覧では発生しないcurlなどのプログラムを示すUser-Agentがログに残っている場合、それはマルウェアがC&Cサーバへ自動接続している証拠となり得ます。攻撃者はAPT攻撃のライフサイクルとして、武器化、配送、インストールを経てC&C通信を行うため、この通信を特定することが重要です。しかし工場セキュリティには「可用性重視」という絶対的な制約があります。生産ラインを止めないことが最優先されるため、レガシーOSの使用継続やメーカー保証の観点からパッチ適用やウイルス対策ソフトの導入が困難であるという現状を理解しなければなりません。この課題に対する解決策の核となるのがネットワーク分離です。事務LAN、工場内ネットワーク（F-NET）、センサNETを明確に分割し、事務系で感染が発生しても工場の稼働を継続できる設計にします。特にセキュリティ強度が求められるデータ転送にはデータダイオードが有効です。これは物理的に一方向にしか光信号を通さない装置であり、外部へのデータ送信は許可しつつ、外部からの攻撃コードや操作コマンドの逆流を物理層で遮断できるため、USBメモリや中継用PCよりも安全な手段とされます。無線LAN環境においては、MACアドレスフィルタリングは盗聴や偽装によって容易に突破されるため認証機能として不十分であり、WPA2エンタープライズとRadiusサーバを用いたより強固な認証方式への移行が必要です。また、脆弱性が発見された場合でも、全てを即座に修正するのではなく、CVSSの環境値を参照してリスク計算を行います。インターネットに接続されていない閉域網にある端末などは環境値が下がるため、優先順位を下げるといった現実的な判断が求められます。最終的にセキュリティを維持するためには、システム部がルールとインフラを提供し、現場部門が実際の資産と運用を守るという適切な役割分担（ガバナンス）が不可欠となります。