一連の結果を踏まえて河野氏は、「多くの業界ではICSネットワークをセキュアに運用しており、それがマルウェア感染防止に一定の効果を発揮していると思われる。一方で意識や体制については、サイバー脅威が差し迫ったものと捉えられていない。背景には、国内での感染被害事例が少ないことがあると推察される」と分析する。
確かに、国内での感染事例を見てみると、情報システム系での被害が流れ弾的に当たったものが多く、制御システムを不正に動作させられるといった大規模なインシデントには発展していない。また、日本特有の環境もあるという。「米国やロシアのように国土が広いところでは、リモートアクセスを活用しないと監視しきれない。しかも、専用線などの安全な回線ではなく、インターネットに直接接続しているケースもある」(JPCERT/CC 制御システムセキュリティ対策グループ 情報セキュリティアナリスト マネージャー 中谷昌幸氏)。そうした環境に比べれば、ITシステム全般同様、日本のICSセキュリティは比較的高いというのだ。
しかし近年海外では、Stuxnetにはじまり、制御システムを明確に狙ったマルウェアが複数確認されている。河野氏は「今までのように流れ弾で感染するのではなく、制御システム自体をターゲットにしたサイバー攻撃が発生しており、日本国内で発生してもおかしくはない。決して対岸の火事ではないことを認識してほしい」と強調する。
特に、最近急速に注目を集めているIoT(モノのインターネット)やインダストリー4.0といった潮流により、これまでエアギャップで隔てられていた制御システムと外部が接続される場面は増えると予想される。この結果、これまで「セキュアなネットワーク」だと思われていたものが、そうではなくなる恐れがある。「こうした潮流を見据えた検討が必要だ」と河野氏は述べた。
万が一、ICSでセキュリティインシデントが発生すると、一企業だけにとどまらず、社会全体にインパクトが及ぶ恐れもある。従って、必要以上に恐怖をあおるべきではないものの「インシデントがあまり発生していない今だからこそ、これからに備えた対策を進めていくことが望まれる」(中谷氏)という。
河野氏は調査結果を踏まえ、「ICS関連のセキュリティ情報の収集と効果的なセキュリティ対策の検討が必要だ。まだ情報収集や対策の必要性を感じていない企業/組織が40%程度あるが、それでは将来発生するであろうサイバー脅威への対応に後れを取る可能性がある」と警鐘を鳴らす。
具体的には、JPCERT/CCでも用意しているメーリングリストなどを活用しての「定期的なセキュリティ情報の収集」、ホワイトリスト式マルウェア対策ソフトの導入やアップデートによる脆弱性の解消といった「サイバー脅威に対する事前対策」、そしていざというときに被害を最小化するための「事後対応ができる体制の整備」だ。
またこれらの対策を一通り実施して安心するのではなく、継続的に情報を収集し、それに基づいて取り組みを見直し、改善を続けていくことが重要だとした。「多くの企業/組織では一定程度の対策を実施しているが、一度実施して満足しているところがある」(河野氏)が、日々状況が変化し、新たな脅威生まれていることに注意を払ってほしいという。
明るいニュースもある。ICSのベンダー側も、脆弱性情報の取り扱いに積極的な姿勢を見せ始めていることだ。JPCERT/CCは情報処理推進機構(IPA)と連携し、ITシステムだけでなくICS製品についても脆弱性関連情報の取り扱いを行っており、その届け出件数は増加している。最近では、横河電機のようにきちんと脆弱性情報に関する窓口を設け、情報を公開するベンダーが複数あり、協調して、可用性とセキュリティの両立に向けた対応や情報提供に取り組んでいる。
もちろん制御システムには安定稼働が求められる以上、ひんぱんなアップデートやパッチ適用が難しく、企業/組織によっては「Windows 2000」など古いOSが動き続けているといった独自の条件もある。しかし、その中でもNIST(アメリカ国立標準技術研究所)などが示したガイドラインや、JPCERT/CCの情報、自己評価ツールなどを活用して、セキュリティ対策を進めてほしいとしている。
Copyright © ITmedia, Inc. All Rights Reserved.