スマート工場化が加速する一方で高まっているのがサイバー攻撃のリスクである。本連載ではトレンドマイクロがまとめた工場のスマート化に伴う新たなセキュリティリスクについての実証実験研究の結果を基に注意すべきセキュリティリスクを考察する。第2回目となる今回は、開発に不可欠なEWS(エンジニアリングワークステーション)の役割と、EWSの接続先である産業用のアプリケーションストアに着目する。
工場でIoT(モノのインターネット)など先進のデジタル技術を活用するスマート工場化への動きが活発化している。しかし、一方で高まっているのが、サイバー攻撃のリスクである。トレンドマイクロは2020年5月11日、工場のスマート化に伴う新たなセキュリティリスクについての実証実験研究の結果をまとめたホワイトペーパーをリリースした。本連載では、この研究の結果をもとに、工場のスマート化を進める際に注意すべきセキュリティリスクを考察していく。
≫連載「スマート工場に潜むサイバーセキュリティリスク」の目次
第1回の「スマート工場で見逃されている2大侵入ポイントとは?」では、工場の「スマート化とは何か」を定義するとともに、スマート工場特有の侵入経路として「EWS(Engineering Workstation、開発用ワークステーション)」と「MES(製造実行システム)」があることを紹介した。第2回となる今回は、この中で「EWS」への侵入方法と、接続先の1つである産業用のアプリケーションストアに着目し、脆弱(ぜいじゃく)性とリスクについて紹介する。
「EWS」は、CAM(Computer Aided Manufacturing)などの他、工場自動化のアプリケーション開発やシステムおよび機器の構成、保守、診断のために活用するコンピュータである。工場のスマート化に不可欠な自動化プログラムは、EWS上で開発されたり、コンパイルされたりするケースが多く、そこからロボットや各種製造装置などに配布される。そのため、EWSは多くの場合、以下のような2つの特徴を持つ。
また、EWSに直接または間接的に関わる開発者は、社内従業員だけにとどまらない。企業によって運用はさまざまだが、外部パートナーであるシステムインテグレーターやコンサルタントが利用することもあれば、彼らが外部で開発したプログラムを配布するためにEWSが利用されることもある。つまりEWSは「さまざまな人が作った多様なプログラムが実行」され「工場設備へのネットワークアクセスが可能なエンドポイントデバイス」といえる(図1)。
ただ、工場のスマート化により、このようなEWSの使われ方に新たなトレンドが見られるようになった。その1つが産業用アプリケーションストア(Industrial Application Store)の利用である。産業用アプリケーションストア(以下、アプリストア)とは、産業機器メーカーが正規で提供するオンラインアプリストアで、いわばわれわれがスマートフォンで利用しているアプリストアの工場機器バージョンともいえる。このサービスにより、開発者はアプリストアからダウンロードしたプログラムをEWS上で利用することができ、開発をより柔軟かつ高速に行えるようになるメリットがある。
例を見てみよう。写真1は、著名な産業機器メーカーのアプリストアの画面である。
アプリストアの機能は各社でさまざまだが、ある会社のストアではOLP(※1)ツールのアドインをアップロードやダウンロードできる。このアプリストアには誰でもユーザー登録することができ、ストアにあるアドインを利用して産業用ロボットの自動化ロジックを書くことができる。ストアには約1000のアドインがあり、その一部は何千回もダウンロードされている。
(※1)OLP:Offline Programming(オフライン・プログラミング)の略。ロボット制御用のコンピュータとは別のコンピュータを使って、ロボットの制御プログラムを開発する手法のこと
また、他の会社のアプリストアでは、デスクトップソフトウェアと産業用ロボットコントローラーの両方のアプリを提供している。つまり、このストアから取得したアプリには、産業用ロボットコントローラーで直接実行されるコードが含まれていることを意味している。
このように、工場のスマート化は開発プロセスにも変化を及ぼしている。今では産業用ロボットなどのプログラミング作業は社内のみで完結するものではない。開発者はEWSを介して、外部のクラウドサービスとさまざまなプログラムを交換することになる。このような開発手法の普及にはクラウドサービスの安全性が前提となる。
しかし、今回の研究でトレンドマイクロは、メーカー提供の産業用クラウドサービスにいくつかの脆弱性を発見した。ここではスイス・ABBのクラウドサービスにおける脆弱性を例に挙げる。ただし、前提としてお断りさせていただきたいのは、本研究の目的は特定メーカーの脆弱性を指摘するものではないことだ。産業用クラウドサービスで見過ごされているセキュリティリスクを明示し、サービス全体のセキュリティ向上に寄与することを目的としている点はご留意いただきたい。
Copyright © ITmedia, Inc. All Rights Reserved.