増加する“制御システムを取り巻く脅威”に対し、制御システムセキュリティ対策が急務になっているが、そこには製造現場ならではの課題も多い。現場で実際に起こったセキュリティ事例から、製造現場でのセキュリティ導入の“ツボ”を考える。
生産性向上や業務効率化などで製造現場でのネットワーク利用が必須になりつつある。その一方で、イランの核燃料施設を狙ったStuxnet(スタックスネット)などに代表されるように工場(生産現場)や重要インフラを狙ったサイバー攻撃は増加している。また、低コスト化や利便性向上のメリットで導入が進む「制御システムのオープン化」が、産業用PCのWindows OS上で活動するウイルスによる生産停止被害の脅威をもたらしている。
増加の一途をたどるこれら“制御システムを取り巻く脅威”に対し、システム向けの制御セキュリティ対策とともに「組織・人材の育成」が急務になっているが、そこには製造現場ならではの課題も多い。
ある国内大手半導体メーカーの製造工場で、ウイルスが原因で生産ラインが止まってしまったケースがある。最終ラインで品質検査を行う検査装置がウイルス感染したため、検査プロセス処理の負荷が異常に高まり、本来不良品として判定すべきものがそのまま検出されずに通ってしまうという不具合が生じてしまった。
この事例では当初感染源が分からず、感染が次々と飛び火して、最終的には生産ラインが全部止まってしまったという。同様の事態が国内の自動車製造工場でも起こっている。結局これらの原因は、USBメモリ経由で感染した現場のPCだった。
トレンドマイクロ事業開発本部ビジネスマネジメント部マーケティングマネジメント課担当課長代理の上田勇貴氏はこの事例に対し「USBメモリが現場できちんと運用されず、好き勝手に使われていた結果がもたらしたもの」と警鐘を鳴らす。
USBメモリによるウイルス被害は、個人・企業問わず数多くアナウンスされている。それにもかかわらず、なぜ危険なUSBメモリを現場で使うのだろうか。
「製造現場のシステムはスタンドアロンであるがために、その機器からデータを吸い上げたいときはUSBメモリなど外部メモリを使わなくてはいけない。また、システム保守の外部ベンダがUSBメモリを持ち込んで機器に接続、そこから感染してしまうというケースもある」(上田氏)。
業務上、USBメモリの利用が避けられないのだとしたら、せめて利用するUSBメモリをその業務専用にするだけでも、セキュリティはぐっと高まる。だが、実際には個人用途のUSBメモリを仕事で流用してしまうケースも少なくないのだという。
「現場でUSBメモリを使い、そのデータを持ち帰って自宅のPCにも挿して使ってしまう。仮に自宅のPCが感染していたら、そのUSBメモリを介して現場のPCが感染してしまうという悪循環。USBメモリの利用度調査をすると、会社用途と個人用途が半々ぐらい。依然としてプライベートのUSBメモリを会社でも使っている実態が分かる」(上田氏)。
Copyright © ITmedia, Inc. All Rights Reserved.