産業用ロボットへのサイバー攻撃5つのパターンと対策：産業制御システムのセキュリティ（2/2 ページ）

トレンドマイクロはミラノ工科大学と共同で、産業用ロボットへの不正アクセスの可能性を検証。損害を生みだす5つのパターンを確認した。

[三島一孝，MONOist]

産業用ロボットベンダーが取るべき対策

　実際にはこれらのように産業用ロボットを特別に狙った攻撃については「今のところ確認できていない」（上田氏）としているが「根本的にはあらゆる産業機器に攻撃の可能性は生まれている」と上田氏は警鐘を鳴らす。それでは、打つべき対策としてはどういうことが考えられるだろうか。上田氏は「産業用ロボットのベンダーと、これらを導入するエンドユーザーとで取り組むべき方法や考え方は変わってくる」と述べる。

　産業用ロボットベンダーに対しては自社製品に、1つはセキュリティ対策を機能として盛り込むということ、もう1つはセキュリティの脆弱性を機器に組み込まないという点が重要になるという。

　脆弱性対策としては「ソフトウェア静的解析ツールなどでソースコードをチェックすることが必要になる」と上田氏は述べる。一方、セキュリティ機能については「パラメータを無条件で書き込めないようなデジタル署名を必須にする他、メモリのランダム化（ASLR）などを組み込んでいくことなどが考えられる」（上田氏）。

　こうしたセキュリティ対策を意識したモノづくりというのはコスト面で負担だという認識もあるが「全ての機器がIoTデバイスとなり、他の機器やシステムとつながることで価値を生みだすことを目指すのであれば、最低限のセキュリティ機能は必須となる。またそれに対応したモノづくりも必要になってくる」と上田氏は述べている。

工場関係者が取り組むべきセキュリティの考え方

　一方でエンドユーザーはどのような取り組みが必要になるのだろうか。上田氏は「全てを完璧に対策するとのは工場を取り巻く現在の状況を考えると不可能である。その中で、全体を俯瞰して優先度の高い取り組みから順番に行っていくべきだ」と考え方を示す。

　工場では古い生産設備なども稼働しており、機械を制御する産業用PCのOSが古いバージョンであることなども起こり得る。こうした中でセキュリティ対策を完璧に高めるのは、工場の収支を考えても不可能である。まずは被害度合いが高いと想定される範囲から取り組み、徐々にこれらを高めていくということが重要になる。

　上田氏は「セキュリティ対策は一部だけを高めても被害を抑えることはできない。工場の全体像を見てその中で相対的に優先度の高いものから対策を行っていくべきだ。これらに順番に取り組んでいき、徐々に面に広げていくことが求められている」と対応策について述べている。