ステップ1では、工場システムのセキュリティを検討する上で必要な情報を整理したが、ステップ2からは具体的なセキュリティ対策が示されている。
ステップ2では、まず、セキュリティ対策を実施する上での方針を定めるために、ステップ1で整理したゾーンとこれに紐づく業務、保護対象、想定脅威に対して、業界や会社の置かれた環境に応じて重要度、優先度を設定する。重要度付けの考え方は国際規格などにも示されており、ガイドラインの付録C「関係文書におけるセキュリティ対策レベルの考え方」にも記載があるため、ぜひ参考にしていただきたい。
方針が決まったら、ステップ1で整理した情報に結び付けながらセキュリティ対策を立案する。ガイドラインでは、システム構成面、物理面の2つの観点で対策が例示されている。
ネットワークを介した不正侵入やデータ漏えいなどの脅威に対しては、主にネットワークにおけるシステム構成面での対策が必要となる。また、機器上での不正接続/アクセス、データ改ざん、機器の異常な設定/制御などの脅威に対しては、主に機器におけるシステム構成面での対策が必要となる。
システム構成面のセキュリティ対策は、次の3つの観点を考慮する。
工場は、制御装置を中心にシステム全体を制御するため、ネットワークを介して周辺機能と連携する構成になっていることが多いのが特徴だ。また、ネットワーク以外にも、工場の装置・機器、業務プログラムや利用サービスへの対策も実施する必要がある。
大雨や洪水などの自然災害や物理的な侵入などの脅威に対しては、主に物理面での対策が必要となる。主な対策は、生産設備、制御システムなどを物理的に守るもので、建物の構造、防火・防水の強化や、電源設備・制御システムの施錠管理、入退室管理、バックアップなどが挙げられている。
工場システムにおけるセキュリティ対策においては、自然災害や事故などの脅威に対する物理的な対策、不正な通信アクセスやデバイスによる不正なネットワーク接続などに対するネットワーク面の対策に加えて、不正なプログラム実行やデバイス接続など工場システムの機器、装置自体の対策が必要だ。このように複数の層を重ねる多層防御の考え方に基づき対策することで、より強固に工場システムを守ることができる。
ステップ3では、ステップ2で示した物理面、システム構成面での対策の実行に加え、 ライフサイクルでの対策、サプライチェーンを考慮した対策を実施する。
ステップ2で示したような物理面、システム構成面の対策を実施したとしても、システムへの攻撃を100%防ぐことは難しいのが現状だ。そのため、侵入や攻撃が発生した場合に被害を最小化するための取り組みとして、ライフサイクルにわたる対策を行うことが重要となる。
ガイドラインでは、「運用/管理面」と「維持/改善面」に分けてそれぞれセキュリティ対策が示されている。運用/管理面では、サイバー攻撃の早期認識と対処や、ID/PW管理などがある。維持/改善面では、脅威や脆弱性に関する情報の入手や、セキュリティ対策の定期的な確認、改善活動などが有効とされている。
サプライチェーンの広がりとともに、セキュリティ対策が進んでいない企業がサイバー攻撃によって狙われる事例が増加している。そのため、対策予算や人材に限りがある中小企業においても、工場を守るための対策を進める必要がある。
IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威2023」でも、「サプライチェーンの弱点を悪用した攻撃」が第2位にランクインしている。ガイドラインでは、購入製品/部品、業務委託、システム開発委託、連携システムの4つの観点で取引先や調達先への主な確認ポイントの例が例示されている。
今回は、ガイドラインが示す3つの対策ステップを紹介した。次回は、第1回で紹介した米国パイプライン企業のランサムウェア被害事例を基に、実際に工場でどのような対策が必要なのかを具体的に説明する。
アルプス システム インテグレーション株式会社 ビジネス戦略部 プロダクトマーケティング課
松上 伸子(まつがみ のぶこ)
自社の情報漏えい対策製品のプロダクトマーケティング担当として活動。現在は、製造業のお客様向けや他業界のお客様向けにセミナー講演を行うなど、幅広く発信を行っている。
情報漏洩対策の一元管理 InterSafe ILP https://www.alsi.co.jp/security/ilp/
Copyright © ITmedia, Inc. All Rights Reserved.