工場に張り巡らされている制御システムは、かつて閉じたシステムだった。しかし、現在ではオープンアーキテクチャの採用比率が高まっており、ネットワークに接続されていることも珍しくない。PCやサーバと同程度のセキュリティ対策が必要なのだろうか。
製造業の制御システムは、オフィスで利用するサーバやPCとは違い、外部ネットワークに常時接続されていない――このような「常識」にとらわれていないだろうか。外部ネットワークから外れていればセキュリティ上の問題はない、PCがコンピュータウイルスに感染するのは怪しいサイトにアクセスしたためだから……。
さらに制御システムはPCとは違い、標準化されておらずメーカーや機種ごとにアーキテクチャが異なる、汎用のウイルスとは無関係なのでは……。
情報処理推進機構(IPA)によれば、このような認識は全く誤っている。図1に示したように、制御システムは上流から次第にオープン化している。図にある「コントロールネットワーク」よりも上の階層ではPCと標準プロトコルを組み合わせて使っている。
2009年3月に公開された経済産業省による調査「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業 報告書」によれば、汎用OSや外部ネットワーク接続が制御システムにおいても当たり前のものになっていることが分かる。USBをはじめとする標準インタフェースの搭載比率も高い(図2)。外部ネットワークと接続されている制御システムは36.8%*1)に上っており、アーキテクチャも統一されつつある。プラント設備で利用されているOSは、Windows系が88.9%、UNIX系が13.7%となっている。
*1) なお、この数値は常時接続の比率ではない。36.8%のうちインターネット回線を使うものが43%、リモートメンテンス回線が55%である。
従って制御システムであっても、PCのように汎用のウイルス*2)に備えなければならない。制御システムにはPCよりも悪い条件が重なっている。まず、利用期間が長いことだ。PCは5年程度でリプレースされる場合もあるが、制御システムであれば20年間稼働することも珍しくない。従って、セキュリティ対策が後手に回りやすい。さらに、PCでは当たり前になっているアンチウイルスソフトの自動更新といった仕組みも発達していない。
*2) 制御システムは何らかの意思をもった攻撃を受けることもある。社会インフラの混乱を狙ったものや、外国企業からの攻撃なども考えられる。
このようなセキュリティの課題は、日本国内では閉じていない。国内の製造業がアジアに広がっていくと、セキュリティの課題もその後を付いていく。このような状況に警鐘を鳴らすため、IPAは2011年5月に「2010年度 制御システムの情報セキュリティ動向に関する調査報告書〜アジアにおける制御システムセキュリティの取組み状況を調査〜」を公開(PDF)している。この資料には、世界の制御システムがどのような攻撃を受けているのか、どの産業が狙われているのかといった具体例も掲載されている。
Copyright © ITmedia, Inc. All Rights Reserved.