マカフィーCTOが警鐘鳴らす制御システムの「無垢な無防備」：産業制御システムのセキュリティ（2）（2/2 ページ）

産業制御システムへのセキュリティが注目を浴びる中、セキュリティベンダーはこの動きをどう見ているだろうか。米国マカフィーで副社長兼CTOを務めるグレッグ・ブラウン（Greg Brown）氏と、副社長兼ワールドワイド・エンベデッド・セールスの責任者を務めるトーマス・ムーア（Thomas Moore）氏に製造業を取り巻くセキュリティ対策の課題について聞いた。

[鈴木恭子／ライター，MONOist]

遅れが目立つ産業機器へのセキュリティ対策

MONOist　「Internet of Things」時代では、組み込みデバイスだけでなく、産業制御機器もサイバー攻撃のターゲットとなります。この現状をどう見ていますか。

ムーア氏　製造業をターゲットにしたサイバー攻撃が行われれば、工場のオペレーションに支障を来す。残念なことだが、産業機器を多く扱っている製造業は、セキュリティ対策が遅れているのが現状だ。

　2010年に報告された「Stuxnet（スタックスネット）」は、産業制御機器を利用している業界に衝撃を与えた。Stuxnetが標的としたイランの核施設は（どのネットワークにも接続されていない）「エアギャップ」といわれる環境だったが、それでも攻撃にさらされることが明らかになったからだ。

　産業機器は高度技術を集約して作られた、“技術の集大成”ともいえるものだろう。しかし、外部からの攻撃に対する防御機能を（技術的に）開発してこなかった。そのため、攻撃者がデバイス（上で稼働しているソフトウェア）を改ざんすることはできるが、その持ち主（ユーザー）が（攻撃によって）改ざんされた内容を把握し、対処する術がないというのが実情だ。ユーザーが不具合を確認し、デバイスメーカーに問い合わせをしても、「ソフトウェアのどの部分を、どのように改ざんされたのか」をユーザーもメーカーも理解できないのである。

ブラウン氏　実際、Stuxnetが、産業制御機器を導入している製造業に対し、セキュリティ対策を真剣に考えるきっかけとなったことは間違いない。われわれが1000社以上のデバイス製造メーカーを対象に「デバイスにセキュリティ機能（対策）を実装しているか」を調査したところ、3年前に「している／検討している」と回答したのは、20％以下だった。しかし、今日ではこの数字が71％に急増している。

顧客に損害を与える可能性も

MONOist　実際に攻撃された場合、どのような事態が想定されますか。

ムーア氏　製造業であれば、自社が対応に追われるだけでなく、顧客側にも大きな被害を与えてしまい、企業の信用は失墜するだろう。その被害総額は計り知れない。また、ソフトウェアが誤作動すれば、製造機器が物理的なダメージを受ける可能性もある。

　また、情報流出の被害も甚大だ。例えば、ベンダーが顧客とともに生産計画のようなシステムを導入していたとしよう。同システムが外部から攻撃されれば、意図しないような情報が顧客に伝わってしまう可能性もある。もし、顧客が間違った情報を基にプランニングをしてしまえば、その被害額は莫大になる。製造業がサイバー攻撃にあった場合、その被害は多岐に渡ると想定しなければならない。

MONOist　そうしたことを防ぐためには、どのような方法が必要だと考えますか

ブラウン氏　システムやデバイス上で稼働しているソフトウェアが正しく稼働しているかを監査し、定期的に検査をしていく必要がある。

　もう1つ、製造業のセキュリティリスクで忘れてはならないのが、ヒューマン・エラーだ。ソフトウェアの変更ポリシーに基づかない未承認の変更を検知し、照合できるような環境を構築することも重要なセキュリティ対策の1つだろう。

　また、デバイス間でのやりとりが頻繁になると、その通信の整合性も重要になる。ソフトウェアの整合性だけでなく、通信の整合性も確認できる環境の構築が必要だ。マカフィーはこうしたセキュリティ技術に30年の歴史がある。コンピュータ・セキュリティで培った技術を組み込みデバイスのセキュリティにも応用できる技術を持っていると自負している。

危機を迎える制御システムのセキュリティ対策とは？：「制御システムセキュリティ」コーナーへ

工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。