テュフ ラインランドジャパンでは3つのステップでロボットコントローラーのサイバーセキュリティ対策を推進することを推奨している。
第1のステップではセキュリティ診断を実施し、現状の問題点を明らかにし、取るべき対策を明確にする。第2のステップではセキュリティガイドラインを作成することで、製品開発のプロセスにセキュリティという観点を盛り込むようにする。第3のステップでは定期的なセキュリティ検査を実施することで、高いセキュリティレベルを保つことを目的とする。
人間も健康診断をせずにどこが悪いかわからない状態で薬の服用や、手術をすることができないのと同じで、ITシステムも健康診断をしなければセキュリティ対策の方針を立てるのは困難である。
そのため、脆弱性の診断、ペンテスト(ハッカーの方法を模倣して、機器に対して実際に攻撃を仕掛ける)、プログラムソースコードなどのレビューを通じ、現状のセキュリティレベルをまず明確にするべきである。そのうえで“至急”“短期”“中期”“長期”といった期間ごとに打つべき対策を明確にし、きちんと実行することが重要となる。
セキュリティガイドラインの作成は、技術的な観点と製品差別化の観点から非常に重要である。まず技術的な観点から享受できるメリットは以下の4点が挙げられる。
また製品差別化の観点からセキュリティを考えると、製品の機能や価格面での差別化が難しくなっている中、セキュリティ対策を適切に実施していること自体が差別化要素として、評価のポイントとなるケースが増えてきている。
ユーザーもセキュリティガイドラインを独自に設け、調達基準にセキュリティ対策が考慮されるようになるケースが出始めたため、自社のセキュリティに対する取り組みを明示的に示すことができるセキュリティガイドラインの作成は、他社に対する競合優位を保つうえでも有効な手段といえる。
機器も人間と同様に、1年前に健康だったので今年は健康診断を受けなくていいというわけにはいかない。IT技術をベースとしてロボットが制御されている以上、常に新しい攻撃手法や脆弱性などに対応するとともに、パッチやアップデート、機能追加などで新規に追加したコードなどに脆弱性がないかチェックすることが求められる。
一方で、定期的なセキュリティ検査を自社で実施することはハードルが高い場合が多い。その理由は以下の通りだ。
などがある。テスト環境の構築やテストに必要なソフトウェアの導入、テストを実施する専門家を雇用するコストなどを考慮すると、専門家に任せた方が効率的であるといえる。筆者の勤務するテュフ ラインランド ジャパンでは、このようなニーズに応えるため回数券方式のテストメニューなども提供している。年に数回のテストを行い、常に安全な環境を提供することが製造事業者の責務となるだろう。
ロボットの重要度が加速的に増しており、我々の生活と切り離せなくなってきている。ロボットが動作を停止してしまうと、商品の生産やサービスの提供に大きな影響を及ぼしかねない。ロボットのセキュリティ対策は、今後とも重要度が増していくことは間違いなく、喫緊の課題といえるだろう。対策に不十分なところがあると心当たりがある場合には、即座に対策を強化することを推奨する。
Copyright © ITmedia, Inc. All Rights Reserved.