ボトリング機械メーカーは、乱立した VPN からゼロトラスト リモート アクセスへ切り替えました。

背景

現在の自動化された製造環境は、リモート アクセスによって稼働しています。円滑な生産を維持するには、サービス パートナーや機械メーカーなどの外部ベンダーによるアクセスが必要です。機器に問題が発生した場合、このアクセスはさらに重要となります。

一方、ある欧州のボトリング機械メーカーでは、リモート アクセスの採用がセキュリティおよびコンプライアンス上の懸念の拡大につながっていました。

その企業は、社内の生産チームと外部ベンダーの双方を支える複雑な運用技術 (OT) 環境を運用しています。時間の経過とともに、リモート アクセスは VPN や独自開発ソリューションが混在する状態へと変化しました。これらのツールは、業務を継続するために導入されましたが、特に NIS2 をはじめとする現代のセキュリティ要件を満たすものではありませんでした。

規制強化とセキュリティ リスクの高まりにより、機密性の高い OT 環境を危険にさらすことなくベンダーにアクセス権を付与し、コンプライアンス要件を満たす方法を検討する必要が生じました。

課題

メーカーは、外部ベンダーに生産環境へのリモート アクセスを提供するために VPN ベースのソリューションを利用していました。この方法は機能していた一方で、明確な制約がありました：

• VPN は、厳密なロールベースの権限ではなく、広範なネットワーク アクセスを提供していた
• IT および OT システム全体でアクセスの標準化と可監査性の確保が困難だった
• 外部ベンダーからの接続を可能にすることで、生産環境の攻撃対象領域が拡大した
• 既存のソリューションは、新たな NIS2 コンプライアンス要件を満たしていなかった

セキュリティの観点ではリスクが高まっており、コンプライアンスの観点からは持続可能であるとは言えませんでした。

これらのリスクへの対応は IT セキュリティ チームの責任となっていました。チームの任務は、工場の操業を妨げることやベンダーによるサポートを遅延させることなく、企業のセキュリティ体制を強化することでした。

目標

この企業は、生産環境全体における外部アクセスの管理方法の見直しに着手しました。新たなソリューションを個別に追加するのではなく、チームは明確な目標を定義しました：

• VPN ベースのアクセス方法およびコンプライアンスに準拠しないアクセス方法を置き換える
• リモート アクセスにゼロトラスト アプローチを導入する
• PLC を含む IT 資産および OT 資産へのセキュアなアクセスを導入する
• ガバナンス、可監査性、保守性を向上
• NIS2 を含む現行のサイバーセキュリティ規制への適合を確保する

重要なのは、このソリューションが大規模な生産環境で稼働し、数百のエンドポイントをサポートできることでした。また、社内チームや外部パートナーに追加の複雑さを与えることなく、これらすべてを実現する必要がありました。

ソリューション

これらの要件を満たすため、メーカーは集中管理型ゼロトラスト リモート アクセス プラットフォームである、運用技術 (OT) 向け TeamViewer Tensor を採用しました。

VPN によるネットワーク アクセスの拡張ではなく、Tensor は必要なとき、承認されたユーザーのみに対し、特定のシステムへのセキュアなセッションベースのアクセスを提供します。

このアプローチの主な要素は以下のとおりです：

• Windows XP システムなどの IT 資産、およびプログラマブル ロジック コントローラ (PLC) を含む OT 資産に対する統合型ゼロトラスト アクセス
• サイバーセキュリティ チームによる集中型アクセス制御
• 最小権限アクセスを厳格に適用し、OT ネットワークへの露出を低減
• 500 以上の生産エンドポイントを備えた大規模環境をサポート
• ユーザー、資産、権限の明確な分離

リモート アクセスを単一のプラットフォームに統合することで、組織内のツールの乱立が解消され、カスタム ソリューションや自社開発ソリューションへの依存が低減しました。

成果

TeamViewer Tensor の導入後、メーカーの生産環境全体における外部リモート アクセスの管理が大幅に改善されました。