「CNC」も「CODESYS」も脆弱性とは無縁ではない:脆弱性調査とセキュアな開発、多方面からの取り組みが不可欠に(3/3 ページ)
CNCやCODESYSなど製造現場で活躍するシステムも、常にセキュリティリスクに晒されている。ロシアのセキュリティ企業、Kasperskyによるリサーチによると、製造現場においても脆弱性調査とセキュアな開発、多方面からの取り組みが不可欠であることが示された。
はじめからセキュリティを考慮した製品開発が不可欠に
だが現実には、既存システムへの対症療法だけでは根本的な解決は望めないだろう。Suvorov氏は「できあがったものに後からセキュリティを追加するのは難しい。センサーが代表例だが、こうした機器はCPUパワーもキャパシティも限られており、後からアンチウイルス製品を導入するわけにはいかない。はじめからセキュリティを考慮した基盤の上に、製品を構築していくことが必要だ」と述べている。
このことは、Industrial Cybersecurity Conferenceの基調講演に登場したKasperskyの創業者、ユージン・カスペルスキー氏も指摘していた。カスペルスキー氏は、物理的なインフラに対する攻撃を「通常のマルウェア」「より洗練された標的型攻撃」「インフラへの攻撃」などに分類。特にインフラに対する攻撃の場合、エンタープライズへの攻撃とは異なってリスク管理が困難であり、損害は予測不可能だという。
こうした現状への打開策として、カスペルスキー氏が唱えたのが「イミューン・システム」だ。人間の免疫システムになぞらえたアプローチは、同社に限らず複数のセキュリティベンダーが提唱しているが、Kasperskyの場合、はじめからウイルスへの抗体を備えた免疫力の高いシステム、という意味合いだ。
それを具現化したのが、「セキュア・バイ・デザイン」の考え方で開発されたマイクロカーネルベースのOS、「Kaspersky OS」だという。カスペルスキー氏は「システムをより侵害されにくくしていくことで、攻撃のコストを大きくしていくことが、産業システム、ICSシステムのセキュリティの将来像だ。今の世界を安全にするだけでなく、より安全な世界を作り出していくことがわれわれの役割だ」と呼び掛けた。
Suvorov氏によるとKaspersky OSは、セキュアOSの一種だ。ハードウェアとOS、OSとアプリケーションの間を分離し、専用の通信システムを介して全てのコミュニケーション、I/Oを制御する。SDKと独自のハイパーバイザーによって既存のアプリケーションを搭載することも可能で、いわば「コンテナ」のように区切られた形で動作できるという。
「汎用のOSならば何でもできるが、Kaspersky OSはホワイトリスト方式のように制御を行う。例えばクラウドなど外部への通信を制御したり、ダウンロードを制限したり、アプリケーション間の通信を制御したりと、あらゆるコミュニケーションとアクティビティをチェックし、『プロファイル』に沿って許可された動きしかできないようにする」(Suvorov氏)
ブラックボックス化の懸念については「顧客に隠すことは何もない。マイクロカーネルの動きは数学的に検証できるようになっており、それもKaspersky OSの特徴の1つだ」とDashchenko氏は述べた。
Suvorov氏によると、既にKraftwayやSiemensといったいくつかのパートナーがKaspersky OSを採用し、製品のセキュリティ強化に活用しているといい、「日本のメーカーともコラボレーションを広げていきたい」とした。
サイバーと物理世界が互いに影響し合う世界だからこそ、セキュアな開発を
KasperskyのChief Strategy ArchitectでHead of Future Technologiesを務めるAndrey Doukhvalov氏は「ランサムウェアや情報窃取のように、ITの分野で以前から存在してきた脅威もあるが、IoT/IIoTの広がりにともなって、サイバーが物理に、物理がサイバーにと、互いに影響を与えるようになってきた。これを前提に、情報の世界、物理の世界それぞれ単体ではなく、両方の組み合わせでセキュア・バイ・デザインというアプローチをどのように実現するかという新しい課題に取り組まなければいけない」と述べている。
市場の動きがますます急速に変化する中、それに追随するため、アジャイルな開発スタイルも広がってきた。だがだからこそ、アプリやインフラの一部として、はじめからセキュリティを組み込むことが重要だとDoukhvalov氏は語った。「反復プロセスの中でビジネス的な機能だけでなくセキュリティも要求し、埋め込むことが欠かせない」とし、Kaspersky OSのようなツールとメソドロジー、ベストプラクティスを組み合わせ、セキュアなDevOps実践を支援していくと強調した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Kaspersky Lab、IICのIoTセキュリティ成熟度モデル実践ガイドの作成に協力
カスペルスキーは、Kaspersky LabのICS CERT部門のエキスパートが、IoT推進団体であるIndustrial Internet Consortiumの他の会員企業とともに、「IoT Security Maturity Model:Practitioner’s Guide」の作成に携わったことを発表した。
工場の安定稼働が人質に! なぜ今制御システムセキュリティを考えるべきなのか
工場や発電所などで使われる制御システムのセキュリティが今脅かされていることをご存じだろうか。イランの核施設を襲った「Stuxnet」以来、各国の政府が対策を本格化させているが、日本における制御システムセキュリティ対策で重要な役割を担うのが制御システムセキュリティセンター(CSSC)だ。本稿ではCSSCの取り組みとその基幹施設であるテストベッド「CSS-Base6」の概要について紹介する。
工場セキュリティで成長目指すMoxa、トレンドマイクロとの協業製品は2020年初投入
産業用ネットワーク技術などを展開する台湾のMoxaは、工場セキュリティを切り口とし、日本向けの提案を強化する。トレンドマイクロとの協業などを生かし、より簡単で便利な工場のセキュリティ対策を訴求する方針である。
工作機械の共通インタフェース「umati」とは何か?
工作機械のスマート化に向けて注目されている通信規格が「umati」である。本連載では「umati」とはどういう規格なのか、技術的にはどういう背景があるのか、どのような活用シーンがあるのかについて、紹介する。第1回となる今回は「umati」とは何かをテーマに概要を取り上げる。
欧米注目の産業制御システムセキュリティの国際規格、ルネサスが認証取得を支援
ルネサス エレクトロニクスは、産業分野の組み込み機器向けプラットフォーム「RZ/G Linuxプラットフォーム」をベースに、産業制御システムセキュリティの国際規格であるIEC 62443-4-2の認証を短期間で取得できる「RZ/G IEC 62443-4-2 READYソリューション」を2019年12月末に提供開始すると発表した。