こんにちは、開発業務のため部屋にいる信号灯と寝食苦楽をともに過ごしているイノベーションセンターの石禾(GitHub:rhisawa)です。
2026年3月に、OsecTの新機能として、パトライト社信号灯との連携機能をリリースしました。「メール通知では異常に気づきにくい」という課題を解決するために開発した、信号灯連携機能とその実現アーキテクチャについてご紹介します。
既存ネットワークの設定変更を回避し、導入のハードルを下げるためにモバイル回線を活用した構成を採用した点が大きな特徴です。開発にあたっての技術的な工夫を解説していきます。
OsecTとは
OsecTとは、工場、プラント、ビル、船舶、社会インフラなどの制御システム(OT; Operational Technology)のセキュリティリスクを可視化・検知するサービスです。 多様化する工場システムのセキュリティ脅威に対して、パケット解析するセンサー機器を設置するだけで、OTシステムへの影響なく、ネットワークの可視化と脅威・脆弱性検知ができます。早期にリスク感知できる状態を作り、工場停止による損失を未然に防ぐことができます。詳しくは過去のブログ記事に書いているので、興味がある人は是非ご覧ください。(OsecTリリース・OsecT前編・OsecT後編)
信号灯連携機能について
これまでのOsecTでは、不審な通信を検知するとOsecT Webポータル上にアラートを表示、およびメールで通知を行っていました。
今回リリースした機能では、元々の通知に加えて、OsecTが脅威・脆弱性を検知した際に、OsecTと紐付けしてある信号灯が光ります。OsecTでは複数の観点から脅威検知が可能となっており、その検知種別ごとに信号灯の色や間隔を設定できます。
なぜ「信号灯」なのか?
開発のきっかけは、導入検討中のお客さまからいただいた現場ならではの切実な声でした。
「現場の人は常時メールを見ているわけではない」
OT環境の現場の方々は、PCに常時張り付いてメールをチェックしているとは限りません。そのような場合でも、異常な通信が検知された際、即座に気付いていただく必要があります。サイバー脅威は早期発見が命で、通知に気付かなければ対策が遅れてしまい、重大インシデントに発展する恐れがあります。
「既存ネットワークは極力変更したくない」
ネットワーク設定変更は人的コストがかかるだけでなく、OT環境では設備の稼働に影響を与える可能性があります。また、新しい機器を既存のLANに繋ぐこと自体が、新たなセキュリティリスクを生む懸念もあります。
OsecTは、SaaS環境を利用した提供形態を基本としており、お客さま環境に設置されたOsecTセンサーが収集したデータは、閉域モバイル回線でSaaS環境へアップロード・分析されます。センサーに閉域モバイル回線が付属された構成により、OT環境にOsecTを導入する際に、既存ネットワークへの変更は最小限で済みます。
OsecTと信号灯の連携に際して、信号灯を既存LANに繋いでしまうと、OsecT SaaS環境から信号灯を制御するためにファイアウォールの穴あけ設定などの既存ネットワークの変更が必要になり、セキュリティ観点でも望ましい構成ではありません。
これらの課題を解決するため、「安価に」「ネットワーク設計不要で」「誰でも一目でわかる」仕組みとして、モバイル回線を活用した信号灯との連携が誕生しました。 なお、現段階では光る機能のみ実装済みです。お客さまにヒアリングした結果、音ではなく光での通知の方が望ましいとのことでした。今後ニーズがあれば開発予定です。
システム構成:モバイル回線がもたらす3つのメリット
OsecTと信号灯連携機能におけるシステム構成の最大の特徴は、信号灯の制御にモバイル回線を採用している点です。今現在、パトライト社のNHV/NHBシリーズの信号灯にてモバイル回線用USBドングルを使用して本機能を使用できます。
1. ネットワーク設計が一切不要
既設のLANに接続する必要がないため、新規にネットワーク設計をしたり、設計変更をしたりする人的コストや設備の稼働への影響を抑えることができます。
2. 設置場所の自由度が高い
モバイル回線が通じる場所であれば、工場内や本社のセキュリティ担当者のデスク横など、どこにでも設置可能です。
3. セキュリティリスクの分離
お客さまのOT環境のネットワークから信号灯を物理的に切り離すことで、セキュリティ上のリスクを最小限に抑えています。OT環境内に影響を及ぼしません。
セキュリティとコスト両立のための技術選定
「安全な通信」と「低コスト」を両立させるために、信号灯の制御には、最新のIoT向けモバイル回線サービス docomo business SIGN™ のSIMを選択できるようにしました。特徴について4つ取り上げます。
1. TLS暗号化機能
docomo business SIGN™ のTLS暗号化機能を用いて、信号灯内部で証明書管理をしなくてもHTTPS通信による暗号化通信を実現しています。点灯色やブザー音の制御コマンドが平文で流れるのを防ぎ、第三者による盗聴やなりすまし、内容の改ざんといったリスクを大幅に低減しました。
2. デバイスアクセス機能
デバイスアクセス機能では、必要なタイミングで予約を行い、予約期間中のみ指定されたIPアドレスからデバイスへのアクセス経路を作成します。予約完了後にランダムかつユニークなエンドポイントが発行され、そのエンドポイントを通じて信号灯にアクセスできます。常時接続を維持しないため、信号灯がインターネットに露出する時間を最小限に抑えています。また、アクセス元IPアドレス範囲や接続先デバイスポートを指定できるため、不要な通信経路を作らずに運用できます。
3. SIMに搭載されているセキュリティ機能
docomo business SIGN™ は、SIM自体に不正通信の脅威を検知する「WANセキュリティ」機能が統合されています。通信経路そのもので脅威検知し、お客さま操作にて通信遮断を行えるため、より強固な環境で信号灯を運用でき、かつオプション費用も抑えられています。
4. 圧倒的なコストパフォーマンス
信号灯へのアクセスの通信量はわずかです。IoT向けサービスであるdocomo business SIGN™ を活用することで、非常に安価なランニングコストに抑えることができます。
まとめ
本記事では、OsecTの新機能である「パトライト社信号灯連携」のアーキテクチャとその工夫について解説しました。
この機能は、現場の「メールを見ない」「既存ネットワークは変えたくない」というリアルな課題に向き合い、「簡単・安全・どこでも使える」ことを追求して開発されました。
今回はSaaS版OsecTとの連携を中心にご説明しましたが、OT環境内に信号灯を有線接続するオンプレミス版OsecTとの連携機能もご用意しております。OT環境の可視化と検知でセキュリティを強化したいと考えていらっしゃる方は、ぜひお気軽にお問い合わせください。
今後ともOsecTをよろしくお願いいたします。
