制御システムセキュリティの現在とこれから：制御システム技術者のためのセキュリティ基礎講座（9）（3/3 ページ）

制御システム技術者が知っておくべき「セキュリティの基礎知識」を分かりやすく紹介する本連載。最終回となる今回は、今までに述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で、これから制御システムセキュリティの分野がどうなっていくのかについての考えを紹介する。

[佐々木 弘志 ／ マカフィー，MONOist]

制御システムセキュリティのこれから

　これから数年の範囲で考えて、制御システムセキュリティはどのように発展していくのだろうか。現時点では、制御システムにおいては、情報システムで連日報道されているような脅威は感じられないかもしれない。

　ただIoTやインダストリー4.0などの動きが進む流れの中で、制御システムを取り巻く環境はよりオープンとなり、情報システムとの境界がなくなっていくだろう（関連記事：ドイツが描く第4次産業革命「インダストリー4.0」とは？【前編】）。そうなると、脅威は増える一方であることは明らかだ。情報システムでの脅威の歴史を見れば、ある時点から爆発的に脅威が増えることがあってもおかしくない。そうした環境におけるセキュリティ対策は、これまで紹介した対策が一般的になっていくことに加えて、以下の2つの方向に行くのだろうと考える。

1. 制御機器そのものにセキュリティが埋め込まれていく
2. 情報システム、制御システムの垣根がなくなり、統合的なセキュリティ監視が行われる

　1.については、これまでセキュリティ対策の対象ではなかったリアルタイムOSなどを持つような制御機器にも、セキュリティ対策が埋め込まれていくことを指している。これは、IoT環境の到来で、インターネットに接続するデバイスが爆発的に増える将来を考えれば、自然な帰結といえるだろう。

　2.については、これまで、情報システムだけをセキュリティの適用、監視対象としていた時代が終わり、その対象が制御システムにまで広がっていくということである（図2）。これも遅かれ早かれ実現されていくのではないだろうか。制御システムが攻撃の対象となり得る以上、監視していなければ何が起こっているかを即座につかむことはできない。

　さらに言えば、サイバー攻撃であれば基本的に見つからないように振る舞うため、監視していなければ攻撃されたことさえ気付けないかもしれない。もはや、インターネットに接続していない環境だから安全だという時代は終わりを告げているのである。

図2：情報システムから制御システムへのセキュリティ適用範囲の拡大（出典：マカフィー 資料）

最後に

　皆さんの中で、自動車保険に入るのが当たり前だと考えている方は多いと思う。もちろん、万が一の事故に備えるための必要経費だと考えてのことだろうが、ほとんど車に乗らない人でも加入する場合は多い。その際に、どんな保険に入るかは考えるとして、そもそも保険に入るかどうかを考える人はほとんどいないように思う。まさに、この「当たり前」の状態が、制御システムセキュリティの望ましい姿であると筆者は考えている。

　今後の制御システムセキュリティの発展は、セキュリティが単なるコストではなく、付加価値を生み、他社との差別化になるものとして捉えられるかどうかに掛かっている。そのためには、情報システム（Information Technology）と制御システム（Operational Technology）が、技術面でも、人的な面でも、互いの垣根を越えて融合していくことが必要となる。

　まずは、皆さんの社内でITの部署とOTの部署で膝を合わせて情報交換するところから始めてはどうだろうか。こうしてITとOTが融合することこそが、真の意味でのIoTであると感じるし、その実現に少しでも本連載が寄与できれば、と願っている。

（連載終わり）

危機を迎える制御システムのセキュリティ対策とは？：「制御システムセキュリティ」コーナーへ

工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。