ロボットをハッカーから守るセキュリティ対策のポイント:開発段階から検討必須! あなたの製品のセキュリティ対策(1)(2/2 ページ)
様々な機器がネットワークにつながるようになり、機器の生産性や利便性は大きく高まった。しかし同時にセキュリティの問題が生じ、様々なトラブルが散見されるようになったのも事実である。連載第1回目となる本稿では、急速にコネクテッド化が進む産業用ロボットに焦点を当てて、顕在化してきたセキュリティリスクと取りうる対策について紹介する。
ロボットのセキュリティを確保する3つのステップ
テュフ ラインランドジャパンでは3つのステップでロボットコントローラーのサイバーセキュリティ対策を推進することを推奨している。
第1のステップではセキュリティ診断を実施し、現状の問題点を明らかにし、取るべき対策を明確にする。第2のステップではセキュリティガイドラインを作成することで、製品開発のプロセスにセキュリティという観点を盛り込むようにする。第3のステップでは定期的なセキュリティ検査を実施することで、高いセキュリティレベルを保つことを目的とする。
セキュリティ診断
人間も健康診断をせずにどこが悪いかわからない状態で薬の服用や、手術をすることができないのと同じで、ITシステムも健康診断をしなければセキュリティ対策の方針を立てるのは困難である。
そのため、脆弱性の診断、ペンテスト(ハッカーの方法を模倣して、機器に対して実際に攻撃を仕掛ける)、プログラムソースコードなどのレビューを通じ、現状のセキュリティレベルをまず明確にするべきである。そのうえで“至急”“短期”“中期”“長期”といった期間ごとに打つべき対策を明確にし、きちんと実行することが重要となる。
セキュリティガイドラインの作成
セキュリティガイドラインの作成は、技術的な観点と製品差別化の観点から非常に重要である。まず技術的な観点から享受できるメリットは以下の4点が挙げられる。
- 各工程でのセキュリティ対策担当範囲を明確にすることで、曖昧さを無くすとともに、セキュリティレベルが向上する
- 担当分野、各国、各地域ごとに統一されていなかったセキュリティレベルを平準化することことができる
- セキュリティ要件を事前に定義することにより、開発が進んだ後の手戻りを防ぐことができる
- 開発を他社に委託する際に要求する仕様を明確にできるため、外部委託によるリードタイムやコストの削減が可能になる
また製品差別化の観点からセキュリティを考えると、製品の機能や価格面での差別化が難しくなっている中、セキュリティ対策を適切に実施していること自体が差別化要素として、評価のポイントとなるケースが増えてきている。
ユーザーもセキュリティガイドラインを独自に設け、調達基準にセキュリティ対策が考慮されるようになるケースが出始めたため、自社のセキュリティに対する取り組みを明示的に示すことができるセキュリティガイドラインの作成は、他社に対する競合優位を保つうえでも有効な手段といえる。
定期セキュリティ検査
機器も人間と同様に、1年前に健康だったので今年は健康診断を受けなくていいというわけにはいかない。IT技術をベースとしてロボットが制御されている以上、常に新しい攻撃手法や脆弱性などに対応するとともに、パッチやアップデート、機能追加などで新規に追加したコードなどに脆弱性がないかチェックすることが求められる。
一方で、定期的なセキュリティ検査を自社で実施することはハードルが高い場合が多い。その理由は以下の通りだ。
- 年に数回のテストのために機材、ソフトウェアをそろえなければならず、コストが高い
- OS、データベース、 Webサーバなど、それぞれの分野に通じたセキュリティ専門家の知見が必要になる
- セキュリティテストを行う人材の確保が難しい
- 内部でテストを行った場合に、適切に問題へ対処できるかというガバナンスの問題が発生する
などがある。テスト環境の構築やテストに必要なソフトウェアの導入、テストを実施する専門家を雇用するコストなどを考慮すると、専門家に任せた方が効率的であるといえる。筆者の勤務するテュフ ラインランド ジャパンでは、このようなニーズに応えるため回数券方式のテストメニューなども提供している。年に数回のテストを行い、常に安全な環境を提供することが製造事業者の責務となるだろう。
ロボットの重要度が加速的に増しており、我々の生活と切り離せなくなってきている。ロボットが動作を停止してしまうと、商品の生産やサービスの提供に大きな影響を及ぼしかねない。ロボットのセキュリティ対策は、今後とも重要度が増していくことは間違いなく、喫緊の課題といえるだろう。対策に不十分なところがあると心当たりがある場合には、即座に対策を強化することを推奨する。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「開発段階から検討必須! あなたの製品のセキュリティ対策」バックナンバー
サイバー空間の脅威の変遷とその対策からIoTセキュリティを学ぶ
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第1回では、サイバー空間の脅威の変遷とその対策から、IoTセキュリティがどういうものかを考えます。
日立は「WannaCry」被害から何を学んだのか、IoTセキュリティサービスに昇華
日立製作所が開催した「日立セキュリティソリューションセミナー」の基調講演に、同社 サービスプラットフォーム事業本部 セキュリティ事業統括本部 副統括本部長の宮尾健氏が登壇。2017年5月に発生したランサムウェア「WannaCry」による被害から得られた気付きと、それに基づいて開発した同社のIoTセキュリティサービスを紹介した。
製造業のセキュリティリスクは急増中? 調査から見える現状
製造業の現場でIoT(モノのインターネット)の活用が進む中、これまでとは違うセキュリティの脅威にさらされる機会が増加している。トレンドマイクロが実施した法人組織のセキュリティ実態調査を踏まえて、製造業のセキュリティ対策の現状を探る。
組み込み技術者向けTLS1.3基礎解説(前編):まずはSSL/TLSについて知ろう
インターネット接続機器のセキュリティ技術として広く用いられているTLSの最新バージョン「TLS1.3」は、IoTデバイスを強く意識して標準化が進められた。本稿では、組み込み技術者向けにTLS1.3の基礎を解説する。前編ではまず、TLS1.3のベースとなる一般的な暗号化通信技術であるSSL/TLSについて説明する。
IoTデバイスのセキュリティに不可欠な要素とは
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第3回は、市場に出荷されてからその役割を終えるまで一連のライフサイクルで、IoTデバイスを適切に保護し続けるためのセキュリティ設計のポイントを解説します。