これらの対策は、実は制御系システムに限った話ではなく、情報系システムでも繰り返し言われていることだ。従業員のアクセスコントロールは内部統制でも同様のことがうたわれており、総合セキュリティ製品の導入も当たり前のように言われていることだろう。制御系システムにおいても、情報系セキュリティにおける、まだ完全には守られていない「常識」が必要になってきたということだ。
そして、前ページのリストの最後の項目「インシデント対応訓練を行う」というのは重要かもしれない。これは、何か問題が発生したときに、すぐに関連組織や調査会社との連携がとれるかということを把握するためのものだ。特に産業制御システムにおいては、サイバーセキュリティの専門家である外部調査会社にノウハウがあるか、初動体制はどうかを確認するため、定期的に実施すべき事項だろう。
筆者はもともと、@ITのセキュリティフォーラムを担当していた「情報系エンジニア」側にいた人間であるため、今回の産業制御システムの現状が、情報系システムにおける10年前に重なって見えた。情報系システムも大きな事件を経て、さまざまな製品による対策、エンジニア側のノウハウが蓄積されてきたが、いまだに出口の見えない道であることは否めない。
産業系システムにおいては、残念ながら「事件ごとにノウハウをためる」ということは許容できない。システムへの攻撃はインフラシステムの陥落を意味し、その影響が計り知れないからだ。
ただし、制御系システムだからといって特別な「セキュリティ」が必要なわけではない。システムのアップデートを適切に行う、アクセスコントロールを実施するといった、いままでの基本を守ることで多くの攻撃から身を守ることがまだ可能だ。
今後、制御系をはじめ、組み込み機器や自動車など、MONOistでカバーしている分野においてもセキュリティが必須となる。今後はセキュリティエンジニア/制御系エンジニアが手を取り合って脅威からシステムを守るという姿が当たり前になるのではないかと思っている。本記事をきっかけとし、エンジニアとしての新たな力として、「セキュリティ知識」を手に入れてみてはいかがだろうか。
工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.