発電所や工場をサイバー攻撃から守れ、必要なのはOTとITの融和、経営陣の理解:IoT/制御システムセキュリテイセミナー(1/3 ページ)
MONOistとスマートジャパンが「IoT/制御システムセキュリテイセミナー」を開催。ネットワーク接続が当たり前になりIoTの利活用が進む中で、発電所などの重要インフラや工場などの産業制御システムセキュリティにどのような課題があるか、どのような対策が取り得るかについて、講演やセッションを通じて紹介した。
MONOistとスマートジャパンは2018年7月20日、東京都内で、製造業や電力・エネルギー産業が直面するセキュリティ課題について論じる「IoT/制御システムセキュリテイセミナー」を開催した。同セミナーでは、ネットワーク接続が当たり前になりIoT(モノのインターネット)の利活用が進む中で、発電所などの重要インフラや工場などの産業制御システムセキュリティにどのような課題があるか、どのような対策が取り得るかについて、講演やセッションを通じて紹介した。
基調講演に登壇したのは、サイバーディフェンス研究所 専務理事 上級分析官の名和利男氏だ。テレビ番組で紹介されるなどサイバーセキュリティの専門家として知られる名和氏は「製造/電力業界の現場で発生しやすい"サイバー攻撃の入り口"」をテーマに、サイバー攻撃の現状を専門家の目線から解説した。
製造/電力業界で制御や監視などを行う「計測・制御システム」の多くは、インターネットと直接つながることのない「閉鎖網(クローズドネットワーク)」であるため、サイバー攻撃に遭遇することはないと認識されていた。しかし、ここ数年、諸外国においてその認識を覆す「計測・制御システム」に対するサイバー攻撃が発生しており、一部で深刻な被害を発生させている。
一方、日本では発生することはないだろうと考えられていたが、相次ぐ規制緩和/自由化、労働力人口の減少、働き方改革の推進、顧客ニーズの多様化/高度化、Society5.0(超スマート化社会の実現)に基づくIoT利活用の促進などにより、諸外国における「サイバー攻撃が発生しやすい環境」に近づきつつあるという。
名和氏はこうした現状の中で、まずOT(制御技術)における汎用品の採用拡大に注目した。汎用品は、コスト軽減が期待できるという意味では付加価値は高いが、その機能によって差別化を図ることは難しい。もちろん汎用品である以上、決まった仕様があり、広く一般に使うことを想定した部材である。
この汎用品は、提示価格から競り下げる方式の競売で調達される。このとき、安価な汎用品に事前にバックドアを仕掛けておくことで、あらかじめ侵入可能な入り口を数多く作れる可能性が指摘されている。このため2016年ごろから、製造/電力業界においてOTに組み込まれた汎用品をスコープにした、サイバーセキュリティに関連したガイドラインなどを策定あるいは検討がなされている。
このOTにおけるリスクの最小化に向けて着手するべきこととして名和氏は「OT/ITの相互理解」だと指摘した。OT担当者とIT担当者の受け持つ世界は異なっている。例えばOT領域は、製品やサービスを物理的に変容する(Transformation)システムであり、また、タスクに特化したシステムとして、産業向けに高度にカスタマイズされミッションリンク(必要不可欠な要素)なものである。一方、IT領域は、財務、人事、サプライチェーン、注文管理などの企業機能をサポートするシステムで、機能とプロセスは業界全体で共通するところが多い。こうした大きな違いを互いに認識することが必要なようだ。「OT領域では独自アーキテクチャを用いつつ5年以上稼働する信頼性が求められる。この信頼性が、イノベーションやオープンアーキテクチャより重要なのだ。標準化された世界といえるIT領域との違いは大きい。米国は10年間という時間をかけて、OTとITの間の信頼を築いてきた。日本は2020年までの2年間で作るという目標があるが容易ではない」(名和氏)という。
こうした中で、「OTのサイバーセキュリティ対策のために、何を導入して、どのようなサービスを利用すればよいか」という問いに対し、名和氏は「まず、自分自身で現状を見たうえで、初めて何を導入するか検討することを勧める」と述べた。脅威を及ぼしてくる相手を見極めて、それに相応する対策がある。同氏は、この脅威の例えとして「襲い掛かってくる相手が空手キッズなら簡単に対応できるだろう。暴れている一般人の場合、相手が武器を持っていなければ対処できるかもしれない。しかし、武器を持った悪人や軍隊が相手となると話は別だ」と述べた。想定する脅威に相当する、費用対効果の高いセキュリティ対策を行うことが重要だ。
また、インシデント対応能力を獲得するための取り組みとしては、インシデント対応マニュアルの作成を挙げた。当事者意識(自分が責任を持って行動しなければならないと覚悟している状態)を持つことが最も大事であり、それから、積極的にサイバー脅威、インテリジェンスに関する情報を収集し、迅速に判断可能な監視データの出力機能を実装する。さらに定期的にセミナーや勉強会に参加し、最後に定期的なサイバー演習および訓練を実施する、としている。
Copyright © ITmedia, Inc. All Rights Reserved.