制御システム技術者が知っておくべき「セキュリティの基礎知識」を分かりやすく紹介する本連載。最終回となる今回は、今までに述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で、これから制御システムセキュリティの分野がどうなっていくのかについての考えを紹介する。
「制御システム技術者」に対しセキュリティにおける、情報提供と注意喚起を目的としている本連載だが、今回はいよいよ最終回である。ここまで、制御システムセキュリティについて取り巻く環境や、対策の方法などをさまざまな角度から紹介してきたが、この連載を進めている間にも、Stuxnetに続く新たな脅威の出現など、制御システムセキュリティを取り巻く環境は刻一刻と変化している。
今回は、これまで述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で「これから制御システムセキュリティの分野がどうなっていくのか」について、筆者なりの考えを述べることにする。
第1回「なぜ今、制御システムセキュリティがアツいのか?」では、制御システムセキュリティが注目されている理由について以下の3つを紹介した。ここでもう一度おさらいするとともに、新たな動きについて紹介する。青字で示した部分は、記事掲載後のトレンドを追記したものである。
あらためて整理してみると、本連載が開始してからわずか1年で、それぞれの理由について着実な進展があったことが伺える。こうした環境が、制御システムセキュリティがビジネスとして成立する土壌を形成していっていることは間違いない。今後も、重要インフラを中心にこのトレンドは続くものと思われる。そして、本連載の目的は、このトレンドを踏まえて、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介することであった。
まず、「セキュリティ」の基本的な考え方とは、守るべき重要資産を特定し、それらの必要な機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を維持することである。
第3回「『制御システムセキュリティ』ってそもそもどういうこと?」でも述べた通り、この観点自体は、制御システムでも情報システムでも変わらない。しかし、情報システムでは機密性がより重視され、制御システムでは可用性がより重視されることがポイントとなる。例えば、制御システムでは、可用性を損なうような変更そのものが行えないため、情報システムでは当たり前とされているようなOSの更新やソフトウェアの更新が行われにくいのだ。そういった環境下でのセキュリティ対策とはどのようなものであろうか。
Copyright © ITmedia, Inc. All Rights Reserved.