インフラ

OTとは?ITとの違い・Purdueモデル・OTセキュリティ実装まで解説

OT(Operational Technology)は、工場の生産設備や電力・水道といったインフラの物理プロセスを監視・制御する技術です。PLCやSCADAが動かす現場システムを指し、情報を扱うITとは目的も設計思想も異なります。この記事で扱うのは、OTとITの優先順位の違い、PLC/DCS/SCADAとPurdueモデルの階層、OPC UAを介したOT/IT連携、IEC 62443に沿ったOTセキュリティの設計判断です。システムを設計・接続する立場から整理します。読み終えたときに、自社の設備データをどこまでIT側とつなぐべきか、その判断基準を持ち帰れる構成です。

目次

まとめ:OTの全体像とOT/IT統合で最初に押さえる判断の結論

OTは「止めないこと(可用性)」を最優先に置く制御技術で、機密性を先頭に置くITとは優先順位が逆転します。この一点が、両者を安易につなげない理由であり、OT/IT融合の設計を難しくする根です。

判断の軸は3つあります。第一に、OTとITは物理的にネットワークを分離(ゾーニング)したうえで、データの流れを一方向に絞る境界を設けること。第二に、現場データのIT側連携ではPLCへ直接触れず、OPC UAサーバーやエッジゲートウェイを挟んで疎結合にすること。第三に、10年以上稼働しパッチを当てられないレガシー制御機器の存在を前提に、IEC 62443のゾーンとコンデュイットで防御を組むことです。設備の予知保全や生産分析といった投資対効果の描ける用途に限って連携を進め、目的が曖昧なまま全設備をつなぐ計画は見送る——これがOT/IT統合で失敗を避ける入口になります。

OT(オペレーショナルテクノロジー)が指す制御技術と対象領域

OTは物理世界の設備を直接動かす技術群の総称です。まずは何を含み、ITと何が違うのかを定義から押さえます。

OTの定義と、ICS・IT・IoTそれぞれとの位置関係の整理

OT(Operational Technology)は、ハードウェアとソフトウェアを通じて物理的な機器やプロセスを検知・制御する技術を指します。対象は工場の製造ライン、発電・送電、上下水道、鉄道信号、ビル空調など、社会や生産を支える現場設備です。よく混同されるICS(Industrial Control System=産業用制御システム)は、OT技術を組み込んだ「システムの側」を指す言葉で、OTはその技術基盤という関係にあります。IoT(モノのインターネット)はセンサーやデバイスをネットワークにつなぐ仕組みで、OTの現場にIoTを持ち込んで生まれるのが後述のIIoT(産業用IoT)です。IoTの全体像はIoTとは?仕組み・身近な例・AIとの組み合わせで整理しているため、デバイス側の基礎はそちらを起点にすると理解が早まります。

OTを構成するPLC・DCS・SCADA・HMIと入出力機器

OTの現場は、役割の異なる制御機器が階層をなして動いています。主役はPLC(Programmable Logic Controller)、DCS(Distributed Control System)、SCADA(Supervisory Control And Data Acquisition)、HMI(Human Machine Interface)の4種類と、物理量をやり取りするセンサー・アクチュエーターです。担当する範囲で並べます。

機器 担当する範囲 典型的な用途
PLC 単一設備・ライン センサー入力に応じた逐次制御
DCS プラント全体 連続プロセスの分散制御
SCADA 広域・遠隔 遠隔監視とデータ収集・操作
HMI 操作端末 状態表示と手動介入

実際の現場では、センサーとアクチュエーターが物理量をやり取りし、PLCが逐次制御を担い、SCADAやDCSが上位から監視する形が一般的です。IT側から設備データを取得したいとき、最下層のPLCへ直接アクセスするのではなく、この階層構造のどこに接点を設けるか。それが接続設計の起点になります。

OTとITの違いを生む優先順位・ライフサイクル・通信プロトコル

OT/IT融合が単純なネットワーク接続にならないのは、両者の設計原則が正面から食い違うためです。実装で効いてくる差を具体的に見ます。

可用性を優先するOTと機密性を優先するITの優先順位の逆転構造

セキュリティの三要素CIA(機密性・完全性・可用性)の優先順位が、ITとOTで逆になります。ITは機密性を先頭に置き、情報漏えいを防ぐことを設計の起点にするのが基本です。対してOTは可用性を先頭に置き、産業ラインや発電を「止めないこと」を最優先にします。製造ラインの緊急停止は人命や巨額の損失に直結するため、OTでは数秒の遅延やリブートすら許容されない場面があります。ITの常識であるセキュリティパッチの定期適用や再起動が、OTでは「計画停止のタイミングでしか実施できない」制約に変わる。その原因が、この逆転構造です。

稼働年数・更新頻度・通信プロトコルに表れるOTとIT特有の差

時間軸とプロトコルの違いも、接続設計を左右します。数値で対比します。

観点 IT OT
想定稼働年数 3〜5年で更新 10〜20年以上の連続稼働
更新・パッチ 随時・自動更新が前提 計画停止時のみ・無停止原則
通信プロトコル TCP/IP・HTTP系 Modbus・PROFINET・OPC UA
優先する品質 機密性・データ整合性 可用性・リアルタイム性

OT機器はサポートの切れたOSやファームウェアのまま10年単位で動き続けることがあり、IT側の「古いものは更新する」という前提が通用しません。プロトコルもModbusやEtherNet/IPなど、認証や暗号化を持たない仕様が現役です。設備を長寿命で安定運転させるOTの合理性と、変化に追随するITの合理性は別物。そう切り分けたうえで接続点を設計します。

OTの機器階層を整理するPurdueモデルとゾーニング設計の考え方

OT/IT融合を語るとき、共通言語になるのがPurdueモデル(Purdue Enterprise Reference Architecture)です。1990年代に提唱され、IEC 62443でも参照される階層モデルで、どこにネットワーク境界を引くかの地図として使えます。

Purdueモデルのレベル0〜5で見る制御ネットワークの階層

Purdueモデルは現場から経営層までを6階層に分けます。下位ほど物理・リアルタイム、上位ほど情報・分析の性格を持つ構造です。

  • レベル0:物理プロセス(センサー・アクチュエーター・モーター)
  • レベル1:基本制御(PLC・DCS)
  • レベル2:監視制御(SCADA・HMI)
  • レベル3:製造オペレーション(MES・生産管理)
  • レベル3.5:DMZ(OTとITを隔てる緩衝地帯)
  • レベル4〜5:業務IT・企業ネットワーク(ERP・クラウド)

OTが担うのはレベル0〜3、ITはレベル4〜5で、その境目に置くレベル3.5のDMZが融合設計の要になります。ここに一方向ゲートウェイやファイアウォールを配置。現場の生産データはIT側へ上げつつ、外部からの命令が制御機器へ逆流しないよう流れを制御します。

OTネットワークをゾーンとコンデュイットで区切る多層防御の設計

IEC 62443は、ネットワークを信頼レベルの近い機器の集まり「ゾーン」に分割し、ゾーン間の通信経路を「コンデュイット」に限定する設計を示します。フラットにつながったOTネットワークは、1台の感染が全設備へ横展開するリスクを抱える構造です。ラインごと・工程ごとにゾーンを切り、コンデュイットで許可した通信だけを通せば、被害を1ゾーンに封じ込められます。全設備を平面的につなぐのではなく、区画に分けて関所を設ける。この発想は境界を前提としないネットワーク防御と地続きで、設計思想はゼロトラストとは?境界型防御との違い・NIST7原則と併読すると立体的に理解できます。

OT/IT融合を成立させるデータ連携アーキテクチャと接続点の設計

IIoTやスマートファクトリーの実体は、OTの現場データをIT側で分析可能な形に変換して届けるデータ連携です。どう疎結合につなぐかを実装レベルで見ます。

OPC UA・MQTTとエッジゲートウェイによる疎結合のデータ連携

OT/IT連携の標準的な接点になるのがOPC UA(IEC 62541)です。ベンダーごとに異なる制御機器のデータを共通のモデルで扱え、認証・署名・暗号化を仕様に備えるため、ModbusなどをそのままIT網へ露出させるより安全にデータを取り出せます。クラウドやメッセージ基盤へ軽量に送る場面ではMQTTを組み合わせ、Sparkplug仕様でトピック構造を整える構成も広く採られています。いずれもエッジゲートウェイ(産業用ゲートウェイやエッジサーバー)を現場に置き、そこでプロトコル変換・データの間引き・一次処理を行ってからIT側へ渡すのが定石です。PLCへ分析システムが直接ポーリングする密結合を避け、ゲートウェイを緩衝材にする。そうすることでIT側の都合が制御のリアルタイム性を乱さない構造にできます。

収集した現場データを予知保全・生産分析へ結びつけるデータ処理

データを集める目的は、現場の判断を機械が支援する状態を作ることにあります。エッジで前処理した振動・温度・電流のデータをクラウドやオンプレのデータ基盤に蓄え、機械学習で異常の兆候を検知すれば、故障前に部品交換する予知保全が成り立ちます。生産実績と品質データを突き合わせれば、歩留まりの低下要因を工程単位で追える。こうしたセンサーデータ収集からAIによる分析までを一貫して設計する取り組みを、AI/IoTソリューションとして受託開発の形で支援しています。現場に散在する設備データを、どのプロトコルで吸い上げ、どの基盤で分析し、どんな判断につなげるか。このデータの流れを描けるかどうかが、投資が回収できるかの分かれ目です。

OTセキュリティで押さえる多層防御の設計ポイントと現場の難所

OTをITとつなぐほど、外部からの攻撃面が広がります。従来「閉じたネットワーク」で守られてきたOTが、融合によって前提を失う点を直視します。

エアギャップの崩壊とレガシー機器がもたらすOT特有の構造弱点

OTが長らく安全だったのは、外部網から物理的に切り離す「エアギャップ」に頼っていたためです。OT/IT融合はこの前提を崩します。しかもOT機器はパッチを当てられず、暗号化を持たない古いプロトコルで通信し、20年前のOSが動いていることも珍しくありません。2010年のStuxnetはUSBメモリ経由で隔離環境の制御機器へ侵入し、2021年の米Colonial Pipelineの停止はIT側への侵害が操業停止へ波及した事例として知られています。OTセキュリティで最初に見直すべきは、この「守れない機器が守られていない網につながる」構造そのもの。パッチで塞ぐ発想ではなく、ネットワーク分離と通信制御で機器を隔離する設計が現実解になります。

IEC 62443に沿ったゾーン分割と多層防御の具体的な組み立て方

OTセキュリティの国際規格がIEC 62443です。機器メーカー・システムインテグレーター・運用者それぞれの責務を定め、リスクに応じたセキュリティレベル(SL1〜4)で対策の深さを決めるのが基本です。実装では、先述のゾーン分割とコンデュイットを土台に、OTとITの間へDMZと一方向データダイオードを置き、現場からIT側への送信は許すが逆方向の制御命令は物理的に通さない構成を採ります。加えて、OTネットワークを止めずに監視するには、通信をミラーして観測するパッシブ型の資産可視化・異常検知を用い、能動スキャンで制御機器に負荷をかけない配慮が要ります。やってはいけない失敗は、IT向けのウイルス対策やパッチ運用をOTへそのまま持ち込み、稼働中の制御機器を再起動させてラインを止めること。OTは「止めない」を守りながら守る、という二重の制約下で設計します。

OT/IT統合プロジェクトの進め方と統合を見送るべき判断場面

技術的につながることと、つなぐべきことは別です。投資判断としてどう進め、どこで踏みとどまるかを条件付きで言い切ります。

目的とスコープの明確化から始める段階的なOT/IT統合の手順

OT/IT統合は、全設備を一度につなぐ計画ではなく、目的の明確な1ラインから始めます。進め方を順に示します。

  1. 目的の確定:予知保全・遠隔監視・生産分析など、投資回収の描ける用途を1つに絞る
  2. OT資産の棚卸し:現場のPLC・SCADA・プロトコル・OSバージョンを可視化し、守れない機器を洗い出す
  3. ネットワーク設計:Purdueモデルに沿ってゾーンを切り、レベル3.5のDMZと接続点を定義する
  4. データ連携の実装:OPC UA・エッジゲートウェイで対象設備のデータだけを疎結合に取り出す
  5. 効果検証と横展開:1ラインで投資対効果を確かめてから、同じ型を他ラインへ広げる

製造現場でのこうした段階的なデジタル化の進め方は、製造業のDXとは?課題・進め方・導入手順の観点とも重なります。OTの接続は、その技術的な足回りにあたります。

OT/IT統合を見送るべき条件と過剰投資を避けるための判断基準

次のいずれかに当てはまる場合、OT/IT統合はいったん見送るか、範囲を絞る判断を採ります。第一に、連携で得たデータの使い道が「とりあえず見える化」に留まり、保全や分析の意思決定につながらないとき。可視化だけを目的にした全設備接続は、攻撃面を広げる割に投資が回収できません。第二に、対象設備が数年内に更新・撤去される予定のとき。短命な設備へ連携基盤を作り込むのは過剰投資です。第三に、OT側の運用体制がなく、セキュリティ監視や機器の異常対応を担う人がいないとき。つないだ後に守り運用できる体制がなければ、リスクだけが残ります。まず1ラインの予知保全のように効果が測れる用途で小さく始め、体制と手応えを確かめてから広げる。この順序を守ることが、OT/IT融合を投資として成立させる条件です。

OTとITの違いやOTセキュリティに関するよくある質問と回答

OTの検討でよく挙がる質問に、実装の観点から簡潔に答えます。

OTとICSはどう違うのですか?

OT(Operational Technology)は物理設備を制御・監視する技術の総称で、ICS(Industrial Control System=産業用制御システム)はそのOT技術を組み込んだシステムの側を指します。PLCやSCADAといった制御の仕組みそのものがICSであり、それらを支える技術基盤がOT、という関係です。実務では両者はほぼ同じ文脈で使われますが、「技術=OT」「システム=ICS」という語の役割分担があります。

OTとITはなぜそのままつなげないのですか?

設計の優先順位が逆だからです。ITは機密性を先頭に置き、OTは可用性(止めないこと)を先頭に置きます。ITの常識であるパッチ適用や再起動が、OTでは稼働停止に直結して許容されない場面があります。さらにOT機器は10年以上動き、暗号化のない古いプロトコルを使うため、IT網へそのまま露出させると攻撃面が広がる。だからゾーン分割・DMZ・OPC UAなどの緩衝を挟んで疎結合につなぎます。

OTセキュリティで最初に取り組むべきことは何ですか?

現場のOT資産の棚卸しと、ネットワークの可視化です。どこにどの制御機器があり、どのプロトコルで、どのOSバージョンで動いているかを把握しないと、守れない機器がどこにあるかも分かりません。可視化した上で、Purdueモデルに沿ってゾーンを分け、OTとITの間にDMZを置く。制御機器に負荷をかけないパッシブ型の監視から着手するのが現実的です。

Purdueモデルは今も有効な考え方ですか?

ネットワーク境界を設計する共通言語として有効です。ただしクラウドやIIoTでレベルを飛び越えた通信が増え、階層を厳密に守れない場面も出ています。実務ではPurdueモデルの階層を出発点にゾーンとコンデュイットを定義しつつ、ゼロトラスト的に通信ごとの認証を重ねる補完が採られます。階層の地図として使い、そのまま硬直的に適用しないのが要点です。

OT/IT融合とIIoT・スマートファクトリーの関係は?

IIoT(産業用IoT)は、OTの現場設備にセンサーとネットワークを組み合わせてデータを集める仕組みで、それを工場全体で束ねて生産全体の運用効率を高めるのがスマートファクトリーです。いずれもOTの現場データをIT側で分析・判断につなげる点で、OT/IT融合を土台にしています。データを集めること自体が目的ではなく、予知保全や生産分析という判断に結びつけて初めて投資が回収されます。

関連記事

資料請求

RELATED POSTS 関連記事