2022年に規制化、産業用ロボットに求められるサイバーセキュリティ対策最新動向：ロボットセキュリティ最前線（2）（2/2 ページ）

人手不足やコロナ禍などにより、産業用ロボットやサービスロボットなど、ロボットの利用領域は急速に拡大している。一方でネットワーク化が進むこれらのロボットのセキュリティ対策については十分に検討されているとはいえない状況だ。本連載ではこうしたロボットセキュリティの最前線を取り上げる。第2回となる今回は、ロボットセキュリティ法規制の最新動向について紹介する。

[貝田章太郎／テュフ ラインランド ジャパン，MONOist]

ロボットの安全要求事項に組み込まれるサイバーセキュリティ

　この改定によって加えられるロボットのサイバーセキュリティについての追加内容について、筆者もドラフト版に目を通してみた。ドラフト版では、大きく分けて3つのポイントが要求されている（正式リリースでは内容が変わる可能性もある）。

　まず、1つ目が産業システムのサイバーセキュリティ規格であるIEC 62443-4-2（各種産業用機器のコンポーネントに対する要求事項）を考慮することである。IEC 62443-4-2に沿ったサイバーセキュリティテストを行うことで、脆弱性を洗い出すことができる。IEC 62443に基づくサイバーセキュリティテストについては既にさまざまな形で行われており、筆者の勤務しているテュフラインランドグループでも多くのサイバーセキュリティ試験の実績がある。規制化の動きも含め、さらにこれらを活用する動きが広がる見込みだ。

　2つ目が、ISO/TR 22100-4というガイダンスに基づいて、見つかった脆弱性が産業機器にどのような安全性リスクを及ぼすのかについて、リスクアセスメントをすることが求められるということだ。サイバーセキュリティテストで見つかるリスクは、あくまでITの観点から見たリスクであり、それらがそのまま産業機器のリスクになるかどうかは分からない。そこには、十分な検証が必要となる。そこで、見つかった脆弱性が機器の動作に及ぼすリスクを換算し、必要なリスク対策を行うことが求められている。

　3つ目は、いくつかの詳細な技術要求事項を満たすということだ。具体的にいくつか対策を取ることが求められている。例えば「USBポートをロックする機能」「イーサネットのポート番号を変更することができる機能」「安全設定機能に対する保護」「デフォルトのユーザー名およびパスワードを変更する機能」などが要求されている。なぜこのようなサイバーセキュリティの基本的なことがわざわざ4項目に限って記載されているのか分からないが、最低でもこれだけのことはしておいてほしいということなのではないかと推察する。

まずは”健康診断”から

　なお、ロボットのサイバーセキュリティテストの進め方については以前、筆者が「開発段階から検討必須！　あなたの製品のセキュリティ対策」として連載しているので、こちらも参考にしていただきたい。ロボットのサイバーセキュリティ対策の一丁目一番地は、サイバーセキュリティテストだと考えているためだ。

　サイバーセキュリティ対策というのは、人間でいえば病気の対策を進めることによく似ている。体のどこが悪いか分からない状態では、飲むべき薬や治療の種類も決まらない。ましてや手術を行うこともできない。サイバーセキュリティ対策も同じで、問題点がどこにあるか確定しないことには、必要な対策を打つことはできないのである。まずは、どこが悪いのかを見つける健康診断が重要になる。サイバーセキュリティ対策ではその役割をサイバーセキュリティテストが担うことになる。

　次回は、コロナ禍の影響から急速に実用化のステージへと進みつつあるサービスロボットのセキュリティに関して、2020年度からさまざまな取り組みを行う、RRI（ロボット革命・産業IoTイニシアティブ協議会）の活動内容を紹介する。

≫連載「ロボットセキュリティ最前線」の目次

筆者紹介

貝田 章太郎（かいだ しょうたろう）
テュフ ラインランド ジャパン株式会社サイバーセキュリティサービス 室長（APA地域統括）

早稲田大学政治経済学部 政治学科卒業。米国カリフォルニア大学、韓国 漢陽大学に留学。ITのサイバーセキュリティ技術動向に加え、業界別のサイバーセキュリティ法規制や、OT（制御技術）のサイバーセキュリティに詳しく、情報漏洩（ろうえい）対策（TISAX、GDPR、HIPAA）や自動車関連のサイバーセキュリティプロジェクトを数多く手掛ける。近年では産業用ロボット、医療機器などのサイバーセキュリティサービスを開発し、国内外の大手製造業に数多く採用されている。韓国での勤務経験があり、英語だけでなく韓国語も堪能。韓国系自動車OEMのサイバーセキュリティ事情も熟知している。