制御システム向けの端末防御技術「ホワイトリスト型ウイルス対策」とは？：制御システム技術者のためのセキュリティ基礎講座（5）（3/3 ページ）

制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する本連載。具体的な防御手段として、「多層防御」と「状況認識」について解説した前回に続き、今回は「ホワイトリスト型ウイルス対策」を紹介する。

[佐々木 弘志 ／ マカフィー，MONOist]

ホワイトリスト型ウイルス対策の抱える問題点

　ここまで見てきたように、制御システムで用いる場合、ホワイトリスト型ウイルス対策は、従来のブラックリスト型と比べて利点があるといえるだろう。ただし、この技術を用いる場合には気を付けなければならないことがある。

　まず、システムの変更が多い場合には運用が難しいという点である。インターネットに接続しているオフィスのパソコンのように、日常的に新しいアプリケーションをインストールし、既にあるアプリケーションをアップデートすることを許すような環境では、ホワイトリストを頻繁に更新しなければならない。頻繁なホワイトリストの更新は、現場でもIT担当者でも、運用面での負担が大きくなり、実用に不向きだといえる。

　次に、ホワイトリスト型ウイルス対策では、マルウェアを起動させなくすることはできるが、除去するわけではないということが挙げられる。ホワイトリスト型対策が取られた環境であれば被害は出ないが、そのファイルそのものの危険性は変わっておらず、他の環境に移した途端に感染が広がる可能性がある。ウイルス除去も合わせて行いたいのであれば、アンチウイルスソフトを併用する必要がある。

　最後に偽陽性（本来は陰性であるのに陽性と判定される）の問題がある。ホワイトリスト型対策を用いた場合、ホワイトリストにないアプリケーションは止めてしまうので、本来は動作しなければならないアプリケーションまで止める恐れがある。適用するシステムにもよるが、可用性を重視する場合には事前の十分な検証が必要となる。例えば、ドイツのSiemens（シーメンス）では自社のアプリケーション（PCS 7/WinCC）がホワイトリスト型ウイルス対策ソフトと適合することを確認した上で、ユーザーが希望すればそれを選択できるようにしている^※6）。

※6）McAfee Application Controlのインストールマニュアル

　以上の点に注意して、自身の関わる制御システムについてホワイトリスト型ウイルス対策が適用できるところを検討してみてはいかがだろうか。

制御システム技術者から見たホワイトリスト

　ホワイトリスト型ウイルス対策は、現在、PLCやDCSを管理するパソコンやサーバに対してだけではなく、PLCやDCSそのものに対しても適用が検討されている。しかし、これらは速度やリソースの要件が厳しいリアルタイムOSなどが使われていることが多いため、適用が進んでいないのが現状である。

　ここには大きなビジネスチャンスがあると筆者は考える。この講座を参考にした制御システム技術者によって、近い将来、ホワイトリスト型ウイルス対策機能を内蔵した国内製のPLCやDCSが生まれてくることを願っている。

次回は「ネットワーク監視」

　次回は、制御システムのネットワークを監視する方法として、通常のオフィスのセキュリティ対策でもよく用いられている「IDS」^※7）を制御システムネットワークで活用する方法について紹介しよう。

※7）IDS Intrusion Detection System：侵入検知システム。ネットワーク上の不正な通信を検知するネットワーク監視装置。

危機を迎える制御システムのセキュリティ対策とは？：「制御システムセキュリティ」コーナーへ

工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。