インダストリー4.0時代のセキュリティ、専用ツールはまだまだ不足:産業制御システムのセキュリティ
シマンテックは「インダストリー4.0時代の製造業におけるサイバーセキュリティリスクと企業が行うべき対策」をテーマに説明会を開催。製造業のサイバーセキュリティ環境の動向と、中小製造業でもとり得る対応策について考えを述べた。
シマンテックは2018年2月16日、「インダストリー4.0時代の製造業におけるサイバーセキュリティリスクと企業が行うべき対策」をテーマに、製造業のサイバーセキュリティ環境の動向と、中小製造業でもとり得る対応策について考えを述べた。
ドイツの「インダストリー4.0」など、第4次産業革命とされるデジタル変革の動きが広がりを見せている。これらの動きはIoT(モノのインターネット)などにより「つながる」ことが基盤となっており、必然的にサイバー攻撃のリスクが高まることになる。
製造業の特に工場の領域においては、従来「つながらない」ことを前提としており、オフィスのネットワーク環境などと隔離することで安全性を保ってきた。こうした状況をシマンテックでは「エアギャップ」としている。ただ、シマンテック 太平洋地域および日本担当 最高技術責任者(CTO)のニック・サビィデス(Nick Savvides)氏は「従来型のエアギャップ手法は通用しない。保守やリモートアクセス、サポートなどでネットワークを使用するために『穴』が生まれるからだ。こうした『穴』は現在の製造業ビジネスに必要なものだが、同時に攻撃者もそこを狙う」と警鐘を鳴らしている。
大企業ではこれらの状況に対してもさまざまな対策を進められる。しかし、製造業の場合は、1つの製品を作るのに長いサプライチェーンが必要になる。その中には多くの中小製造業も含まれており、製品の安全性を確保するためには、このサプライチェーン全体の安全性が確保されている必要がある。ただ、中小製造業にとってはセキュリティの担当者もおらず、十分なコストもかけられないのが実情だ。
こうした状況下で中小製造業はどのように対策を進めていけばよいのだろうか。サビィデス氏は以下の5つの点を今後2年間のアドバイスとして送る。
- エアギャップは侵入されることを認識し、移行点を強化する
- 全てのデバイスで、アプリケーションのホワイトリスト管理とサンドボックスの適用を行う
- アクセス系と制御系を「強力な認証」「システムロックダウン」「先進的な機械学習とAIを駆使したアンチマルウェアツール」で強化する
- クラウド、通信につながるデバイスを監視、検査する
- インテリジェントサービスを使用してOTとITの脅威に対処する
特に強調するのが経営者の意識改革である。「まず前提として、エアギャップ手法は通じず、サプライチェーンを担う企業として、工場内においてもセキュリティ対策が必要だという認識を経営陣が持つことだ」と考え方を訴える。
その中で、具体的な対策として訴えるのが移行点のセキュリティ強化である。「オペレーションレベル、コントローラーレベル、エンタープライズレベルなど各ネットワーク、各システムなどの環境間で情報のやりとりをする『移行点』にセキュリティ機能を入れることだ。それにより、攻撃時にも環境間を行き来するのを難しくできる」と移行点強化の意義について述べる。
さらに「現在のエンタープライズ向けサイバーセキュリティ技術では不十分で、製造業専用のセキュリティ技術を進んで採用すべきだ」とサビィデス氏は主張する。「オフィス環境と工場の環境では条件や優先するものが全く異なる。製造業向けの製品を探して活用すべきだ。シマンテックでも従来のものを製造業に活用しようとして、うまくいかなかった。現在は、製造業専用のツールを時間をかけてじっくり開発を進めているところだ」とサビィデス氏は述べる。
さらに「スマートファクトリーなどの動きは現在進行形で進化が続いている領域だ。同じようにセキュリティ業界も進化し続けないといけない。製造分野に特化した新たなセキュリティツールの最適な形を実現していかなければならない」とサビィデス氏は語っている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
シマンテックがIoTセキュリティに本腰、車載ネットワークの異常検知を実現
シマンテックは、自動車向けのセキュリティソリューションの新機能「Symantec Anomaly Detection for Automotive」を発表した。車載制御システムをつなぐCANネットワークにおける異常なトラフィックを検知することができる。
工場のネットワークセキュリティ対策とは?
インダストリー4.0や工場向けIoTなどに注目が集まっていますが、そもそも工場内のネットワーク環境は、どのように構築すべきなのでしょうか。本連載では、産業用イーサネットの導入に当たり、その基礎から設備設計の留意点などを含めて解説していきます。第5回では、工場のネットワークセキュリティ対策について解説します。
制御システムセキュリティの現在とこれから
制御システム技術者が知っておくべき「セキュリティの基礎知識」を分かりやすく紹介する本連載。最終回となる今回は、今までに述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で、これから制御システムセキュリティの分野がどうなっていくのかについての考えを紹介する。
制御システムを守るためにまず押さえるべき7つの対策点
制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。4回目となる今回は、セキュリティ事故を引き起こさないようにするには、どういった対策が事前に必要かを解説する。
PLCが人質に取られて脅迫される時代へ、IoTがもたらす産業機器の危機
JPCERT コーディネーションセンターと経済産業省は「制御システムセキュリティカンファレンス」を開催。高度化が進む、制御システムへの攻撃の事例を紹介した。
スマートファクトリーはエッジリッチが鮮明化、カギは「意味あるデータ」
2017年はスマートファクトリー化への取り組みが大きく加速し、実導入レベルでの動きが大きく広がった1年となった。現実的な運用と成果を考えた際にあらためて注目されたのが「エッジリッチ」「エッジヘビー」の重要性である。2018年はAIを含めたエッジ領域の強化がさらに進む見込みだ。
スマートファクトリーがいよいよ現実解へ、期待される「見える化」の先
ドイツのインダストリー4.0がきっかけとなり関心が高まった、IoTを活用したスマートファクトリー化への動きだが、2017年は現実的成果が期待される1年となりそうだ。既に多くの実証成果が発表されているが、2017年は、実導入ベースでの成功事例が生まれることが期待される。