なぜ今、制御システムセキュリティがアツいのか？：制御システム技術者のためのセキュリティ基礎講座（1）（3/3 ページ）

なぜ今制御システムセキュリティが注目を集めているのか。元制御システム開発者で現在は制御システムセキュリティのエバンジェリスト（啓蒙することを使命とする人）である筆者が、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する。

[佐々木 弘志 ／ マカフィー，MONOist]

制御システムセキュリティに対する国レベル取り組み開始

　制御システムに対する脅威が高まる中で、世界や国内では、どのような対策が行われているのだろうか。現在、制御システムのセキュリティの中でも、特に注目を集めているのが重要インフラのセキュリティである。

　2013年2月、米国のオバマ大統領が米国内の重要インフラに対するサイバーセキュリティ強化策の大統領令に署名を行った。目的は、近年増加する重要インフラに対するサイバー攻撃を未然に防ぐためである。ここでいう重要インフラとは、以下の16分野（セクタ）である。

米国国土安全省が定義する重要インフラ16セクタ（クリックで拡大）

　また、時期を同じくして、欧州においても、EU（欧州連合）の政策機関であるEC（欧州委員会）が発表したサイバーセキュリティ戦略において、情報セキュリティ指令案の順守を重要インフラ事業者に対して求めている。

　このように、世界中で高まるサイバー脅威に対して、国家レベルの対策が行われる中、国内でも、制御システムのサイバーセキュリティについての議論が活発に行われるようになってきた。2013年5月に、サイバーセキュリティのテストベッドの開所式を迎えたCSSC（制御システムセキュリティセンター）の取り組みはその一例といえる。

　制御システムセキュリティセンターは、重要インフラの制御システムセキュリティを確保するため、研究開発、国際標準化活動、認証、人材育成、普及啓発、各システムのセキュリティ検証といったことを行う組織である。宮城県多賀城市にあるCSS-Base6と呼ばれる制御システムセキュリティのテストベッドでは、実際の電力、ガス、化学プラント、ビルシステムなどを模擬したシステムが立ち並び、これらがサイバー攻撃を受けるとどういう問題が起こるのかがリアルに体験できるようになっている。

　国際的な認証取得についての仕組みづくりや、制御システムにおける脅威への対策を研究する施設として、今後も発展していくことが期待されている。

制御システムのセキュリティは“常識”へ

　ここまで見てきた中で「なぜ、今、制御システムセキュリティがアツいのか」がご理解いただけたことだろう。今の制御システムが置かれている状況は、大人になってから「あなた、おたふく風邪に掛かるかもしれません」といわれてしまった人のようである。子どもの頃に掛かっておけば免疫ができていただろうに「大人になってしまってからいきなりそんなこと言われても」というのが本音だろう。その点がマルウェアとともに進化してきた情報系のシステムと大きく異なるところだ。そうはいっても、今後の大きな方向性としては、国内においても、制御システムにセキュリティを搭載することが“常識化”していくことが予想される。

　先日開催されたシステムコントロールフェアでは、世界トップシェアのPLCメーカーであるドイツのシーメンスが、セキュリティ機能をシステムとして提供するPLCを発表していた（関連記事：BMWが採用するシーメンスの「SIMATIC」、目指すのは「インダストリー4.0」の実現）。なんとこのために19年ぶりに基本設計を一新したという。シーメンスはStuxnetで狙われた被害者であるが、それをしっかりチャンスに変えて他社との差別化を図ってきている。

　制御システム技術者として、これらの流れをどう捉えるのかと考えることが重要だ。いつまでも「自分たちの制御システムは大丈夫」という神話にすがりつくか、それとも新しいソリューションを生み出すための好機とするのか、あらためて考えなければならない。

◇　　　　　◇　　　　　◇　　　　　◇

　本連載では、日本の制御システムのセキュリティを向上させるための強い意欲を持った制御システム技術者の一助となるべく、その最新情報を提供できればと考えている。次回は世界を驚かせたStuxnetについてより掘り下げて紹介する。