　ガイドラインでは工場システムのセキュリティ対策導入に必要な3つのステップを示している。まず、ステップ1では工場のゾーンに対するセキュリティ脅威と影響を整理する。今回のケースでは、情報システムと制御システムがそれぞれゾーンとして定義され、情報システムゾーンに対する「ネットワーク経由の侵入」「データ盗難、漏えい」が脅威となる。

　次に、ステップ2では具体的な対策を立案する。ネットワークを介した不正侵入やデータ漏えいなどの脅威に対しては「システム構成面でのセキュリティ対策」が必要となる。先述のように、システム構成面の対策はネットワークにおける対策と、機器における対策に分けられる。

侵入時の対策

　ネットワークにおける対策として、多要素認証による利用者制限や、OS／ソフトウェア／VPN装置などのネットワーク機器を最新の状態に保つことによる脆弱性対策、接続機器の管理／可視化／制限を実施すると良いだろう。

　今回はVPN経由での不正侵入が発端となっているため、多要素認証で不正ログインを防止することが有効な対策となる。さらに、情報システム管理部門で把握されていないVPN装置であったことから、このような機器の適切な管理も重要だ。

　VPNから侵入した攻撃者は、ネットワークを調査して機密情報を探し、攻撃可能な機器に対しランサムウェアを配布することで攻撃範囲を拡げた。

　これには、機器におけるセキュリティ対策が有効となる。メール添付ファイルのマクロ実行を禁止するなど、業務端末での不正なプログラム実行を抑止することでマルウェア対策を行う。

　攻撃範囲の拡大を検知、防御するための統合ログ管理やネットワーク／エンドポイント監視の導入や、業務端末の脆弱性対策も有効だ。

ネットワーク調査後の機密情報窃取への対策

　機器におけるセキュリティ対策として、業務端末／業務サーバ内のファイルを暗号化してデータを保護しておくと良いだろう。今回は、ランサムウェアによるデータの暗号化だけでなく、データを窃取して公開することと引き換えに身代金を要求する二重脅迫の手口が利用された。

　このような二重脅迫型の攻撃に対しても、ファイルを暗号化しておけば中身の公開を防ぐことができる。また、先述した多要素認証／不正プログラムの実行抑止／エンドポイント監視も同様に効果的な対策となる。

ランサムウェアによる端末の暗号化への対策

　機器におけるセキュリティ対策として、定期的なオフラインデータバックアップが有効だ。ランサムウェアによって暗号化された場合、あらかじめバックアップしておいたデータから復旧するのが確実な対策となる。今回のようにネットワーク共有されているデータを暗号化するランサムウェアもあるため、バックアップデータをオフラインで保管しておくのが望ましい。

制御システムの停止への対策

　ネットワークにおける対策として、制御系ネットワークと情報系ネットワークを分離する。ネットワークの構成分割においては、VLANなどによって論理的に分離する方法と、物理的にドメインを分割する方法がある。FWやIDS／IPSを設置して通信の解析／検知／遮断を行い、通信データを制限することも有効だ。

脅かされる製造業界、セキュリティ対策は必須

　第1回で製造業を取り巻く環境動向について解説した。実際、ランサムウェアの被害件数は年々増加しており、2022年に警察庁に報告のあった件数は230件に上った。その内、全体の33％を製造業が占めており、最も攻撃を受けた業種であることが分かっている。

ランサムウェア被害の企業・団体等の業種別報告件数［クリックで拡大］出所：警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」（2023年3月）

　今回は、米パイプライン工場のランサムウェア被害の事例を基に、ガイドラインに沿った対策方法を紹介した。製造業における被害は増加しており、工場の稼働停止や数十億円の損害など甚大な被害を受けてしまう前に対策をしておく必要がある。

　実際に対策を実施する際には、ガイドラインのステップ1にあたる自社の情報の洗い出しが重要となる。業務内容を洗い出してゾーンを設定し、それぞれのゾーンに対するセキュリティ脅威と影響を整理する。これにより、具体的に攻撃のルートや手順を想定できるようになり、効率的かつ効果的にセキュリティ対策を進めることができるだろう。

◇　　　　　◇　　　　　◇　　　　　◇

　これまで全3回に渡り、ガイドラインのポイントと工場での対策を紹介した。本連載が、自社の工場セキュリティ環境を見直す一助になれば幸いだ。

著者紹介：

アルプスシステムインテグレーション株式会社ビジネス戦略部プロダクトマーケティング課　

松上伸子（まつがみのぶこ）

自社の情報漏えい対策製品のプロダクトマーケティング担当として活動。現在は、製造業のお客様向けや他業界のお客様向けにセミナー講演を行うなど、幅広く発信を行っている。

情報漏洩対策の一元管理 InterSafe ILP https://www.alsi.co.jp/security/ilp/

⇒その他の「経済産業省『工場セキュリティガイドライン』を読み解く」の記事はこちら

工場を取り巻くセキュリティ環境動向とガイドラインの全体像
本連載では経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」が示す、今必要な工場セキュリティ対策を解説する。1回目は、最近の工場を取り巻く環境動向と、ガイドラインの全体像を紹介する。
工場セキュリティガイドラインが示す3つのステップ、そこで必要な対策とは何か
本連載では経済産業省の「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」が示す、今必要な工場セキュリティ対策を解説する。第2回では、ガイドラインが示すセキュリティ対策の3ステップと、各ステップで実施する対策について詳しく紹介する。
スマート工場の約半分がサイバー攻撃で生産停止、その内4割以上が4日以上止まる
トレンドマイクロは2021年4月23日、日本、米国、ドイツの3カ国を対象とする「スマートファクトリーにおけるセキュリティの実態調査」の結果を発表した。本稿ではその内容を紹介する。
スマート工場で見逃されている2大侵入ポイントとは？
スマート工場化が加速する一方で高まっているのがサイバー攻撃のリスクである。本連載ではトレンドマイクロがまとめた工場のスマート化に伴う新たなセキュリティリスクについての実証実験研究の結果を基に注意すべきセキュリティリスクを考察する。第1回では、工場の「スマート化」とは何かを定義するとともに、そこから見えたスマート工場特有の侵入経路について解説する。
工場のネットワークセキュリティ対策とは？
インダストリー4.0や工場向けIoTなどに注目が集まっていますが、そもそも工場内のネットワーク環境は、どのように構築すべきなのでしょうか。本連載では、産業用イーサネットの導入に当たり、その基礎から設備設計の留意点などを含めて解説していきます。第5回では、工場のネットワークセキュリティ対策について解説します。
制御システムセキュリティの現在とこれから
制御システム技術者が知っておくべき「セキュリティの基礎知識」を分かりやすく紹介する本連載。最終回となる今回は、今までに述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で、これから制御システムセキュリティの分野がどうなっていくのかについての考えを紹介する。