検索
特集

国内の産業用制御システムは本当に安全か「海外の事例は対岸の火事ではない」産業制御システムのセキュリティ(2/3 ページ)

海外に比べ、国内の産業用制御システム(ICS)はセキュアなネットワーク構成を採用していることもあり、マルウェア感染をはじめとするインシデントが発生することはほとんどなかった。しかし、この現状に甘んじることなく、インダストリー4.0などのトレンドで外部と接続されることも視野に、対策を検討してほしいとJPCERT/CCは呼び掛ける。

Share
Tweet
LINE
Hatena

幸いにして国内ではほとんど発生していないICS製品のマルウェア感染

 確かに、国内の企業/組織のICSではあまりインシデントは発生していない。「ICS製品におけるマルウェア感染危険があるかどうか」という設問については、「ない」という回答が95.6%と大多数を占めた。しかもこの設問は感染した時期を指定しておらず、「ある」とした回答の中には最大で10年前にさかのぼるものも含まれており、「ほとんどインシデントは発生していないといえる」(河野氏)。なお感染したケースでは、USBメモリや外部業者の持ち込みPC経由によるものが大半だったという。

ICS製品におけるマルウェア感染経験の有無
ICS製品におけるマルウェア感染経験の有無(単一回答)(クリックで拡大) 出典:JPCERT/CC

 感染経験がほとんどないこと自体は喜ばしい。しかしそれゆえに「ICS製品ベンダーにセキュリティに関する対応や助言を要求したことがない」とする企業/組織は86.2%、「ICS製品ベンダーのセキュリティに関する情報提供やサポートは受けたことがない」という企業/組織も74.8%に達した。

 同様に「ICS製品に関するセキュリティ情報をほとんど入手できていない」と回答する企業/組織も40.9%に上った。「制御システムメーカーやシステムベンダーから入手している」は19.2%、「セキュリティベンダーから入手」も5.7%あるが、多数派には程遠い。

 河野氏はこうした現状の背景には「国内でインシデントの発生例がないため、サポートや情報入手の必要性を感じていない企業/組織が多いのではないか」と推測している。

これからもセキュリティインシデント発生の可能性は低いと考える企業が大半

 懸念は、こうした状況が慢心につながる可能性だ。

 ICS製品のセキュリティインシデントの可能性について尋ねたところ「これまでも今後も発生する可能性は低い」と回答した企業/組織は74.5%に上った。またこうした現状から、ICSにおける今後のセキュリティ対策の必要性について尋ねても、「取り組む必要があると考えていない」と回答した企業/組織は38.1%、「現段階では未定」とする回答も22.3%に上っている。

ICS製品のセキュリティインシデントの可能性に対する認識
ICS製品のセキュリティインシデントの可能性に対する認識(単一回答)(クリックで拡大) 出典:JPCERT/CC
ICS における今後のセキュリティ対策の必要性
ICS における今後のセキュリティ対策の必要性(単一回答)(クリックで拡大) 出典:JPCERT/CC

 「これまで国内で事故が発生しておらず、しかもセキュアなネットワーク構成を取って外部から接続できないようにしているといった理由で、被害を受ける可能性を感じられないのではないか」と河野氏は分析している。

 具体的な取り組みについても未整備な部分が残る。例えば、ICS製品のセキュリティリスク評価を行っているかどうかを尋ねたところ、「調達時にリスク評価を実施したが、その後は放置している」が27.0%、「ICS製品ベンダーに任せているため、関心はない」という回答は33.3%に上り、「定期的に実効性を伴ったセキュリティリスクの評価と対策を検討している」とする企業/組織は14.2%にとどまった。

 河野氏は「一度はセキュリティリスク評価を実施していても、その後は放置していたり、形骸化しているなど、その後の継続的なリスク評価が滞っている」と説明する。

 また、サイバーインシデント発生時に対応可能な体制を整備しているかどうかについては、45.6%が「サイバーインシデント固有の体制まで整っていない」と回答した。一部の企業/組織では、情報系部署と連携する形で整備しているというが、「半数弱ではまだ体制が整っていない」(河野氏)状況だ。

 ただ、主としてPLCを利用している組み立て系のFA(ファクトリーオートメーション)業界と、DCSを利用し重要インフラ事業者も多く含まれるPA(プロセスオートメーション)業界とでは、やや意識に違いが見られ、PA業界の方が全般にセキュリティインシデントに対する危機意識が高い。「内閣サイバーセキュリティセンター(NISC)や政府が重要インフラ事業者向けにセキュリティへの取り組みを求めていることから、意識も高まっているのではないか」と河野氏は推察している。

PA/FA別でみたICS製品のセキュリティインシデントの可能性に対する認識
PA/FA別でみたICS製品のセキュリティインシデントの可能性に対する認識(クリックで拡大) 出典:JPCERT/CC

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る