検索
連載

被害事例から考える製造現場に必要なセキュリティ対策経済産業省「工場セキュリティガイドライン」を読み解く(3)(2/2 ページ)

本連載では、ガイドラインが示す、今必要な工場セキュリティ対策を解説する。最終回となる今回は、ランサムウェアの被害事例を基に、ガイドラインに沿ったセキュリティ対策を紹介する。

Share
Tweet
LINE
Hatena
前のページへ |       

どうすれば被害を防げたか、ガイドラインに沿って考える対策

 ここからは、本インシデントを防ぐための対策について、第1回第2回で紹介したガイドラインの対策ステップに沿って考えてみよう。

 ガイドラインでは工場システムのセキュリティ対策導入に必要な3つのステップを示している。まず、ステップ1では工場のゾーンに対するセキュリティ脅威と影響を整理する。今回のケースでは、情報システムと制御システムがそれぞれゾーンとして定義され、情報システムゾーンに対する「ネットワーク経由の侵入」「データ盗難、漏えい」が脅威となる。

 次に、ステップ2では具体的な対策を立案する。ネットワークを介した不正侵入やデータ漏えいなどの脅威に対しては「システム構成面でのセキュリティ対策」が必要となる。先述のように、システム構成面の対策はネットワークにおける対策と、機器における対策に分けられる。

侵入時の対策

 ネットワークにおける対策として、多要素認証による利用者制限や、OS/ソフトウェア/VPN装置などのネットワーク機器を最新の状態に保つことによる脆弱性対策、接続機器の管理/可視化/制限を実施すると良いだろう。

 今回はVPN経由での不正侵入が発端となっているため、多要素認証で不正ログインを防止することが有効な対策となる。さらに、情報システム管理部門で把握されていないVPN装置であったことから、このような機器の適切な管理も重要だ。

 VPNから侵入した攻撃者は、ネットワークを調査して機密情報を探し、攻撃可能な機器に対しランサムウェアを配布することで攻撃範囲を拡げた。

 これには、機器におけるセキュリティ対策が有効となる。メール添付ファイルのマクロ実行を禁止するなど、業務端末での不正なプログラム実行を抑止することでマルウェア対策を行う。

 攻撃範囲の拡大を検知、防御するための統合ログ管理やネットワーク/エンドポイント監視の導入や、業務端末の脆弱性対策も有効だ。

ネットワーク調査後の機密情報窃取への対策

 機器におけるセキュリティ対策として、業務端末/業務サーバ内のファイルを暗号化してデータを保護しておくと良いだろう。今回は、ランサムウェアによるデータの暗号化だけでなく、データを窃取して公開することと引き換えに身代金を要求する二重脅迫の手口が利用された。

 このような二重脅迫型の攻撃に対しても、ファイルを暗号化しておけば中身の公開を防ぐことができる。また、先述した多要素認証/不正プログラムの実行抑止/エンドポイント監視も同様に効果的な対策となる。

ランサムウェアによる端末の暗号化への対策

 機器におけるセキュリティ対策として、定期的なオフラインデータバックアップが有効だ。ランサムウェアによって暗号化された場合、あらかじめバックアップしておいたデータから復旧するのが確実な対策となる。今回のようにネットワーク共有されているデータを暗号化するランサムウェアもあるため、バックアップデータをオフラインで保管しておくのが望ましい。

制御システムの停止への対策

 ネットワークにおける対策として、制御系ネットワークと情報系ネットワークを分離する。ネットワークの構成分割においては、VLANなどによって論理的に分離する方法と、物理的にドメインを分割する方法がある。FWやIDS/IPSを設置して通信の解析/検知/遮断を行い、通信データを制限することも有効だ。

脅かされる製造業界、セキュリティ対策は必須

 第1回で製造業を取り巻く環境動向について解説した。実際、ランサムウェアの被害件数は年々増加しており、2022年に警察庁に報告のあった件数は230件に上った。その内、全体の33%を製造業が占めており、最も攻撃を受けた業種であることが分かっている。

ランサムウェア被害の企業・団体等の業種別報告件数[クリックで拡大]
ランサムウェア被害の企業・団体等の業種別報告件数[クリックで拡大]出所:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」(2023年3月)

 今回は、米パイプライン工場のランサムウェア被害の事例を基に、ガイドラインに沿った対策方法を紹介した。製造業における被害は増加しており、工場の稼働停止や数十億円の損害など甚大な被害を受けてしまう前に対策をしておく必要がある。

 実際に対策を実施する際には、ガイドラインのステップ1にあたる自社の情報の洗い出しが重要となる。業務内容を洗い出してゾーンを設定し、それぞれのゾーンに対するセキュリティ脅威と影響を整理する。これにより、具体的に攻撃のルートや手順を想定できるようになり、効率的かつ効果的にセキュリティ対策を進めることができるだろう。

◇     ◇     ◇     ◇

 これまで全3回に渡り、ガイドラインのポイントと工場での対策を紹介した。本連載が、自社の工場セキュリティ環境を見直す一助になれば幸いだ。


著者紹介:

アルプス システム インテグレーション株式会社 ビジネス戦略部 プロダクトマーケティング課 

松上 伸子(まつがみ のぶこ)

自社の情報漏えい対策製品のプロダクトマーケティング担当として活動。現在は、製造業のお客様向けや他業界のお客様向けにセミナー講演を行うなど、幅広く発信を行っている。

情報漏洩対策の一元管理 InterSafe ILP https://www.alsi.co.jp/security/ilp/



⇒その他の「経済産業省『工場セキュリティガイドライン』を読み解く」の記事はこちら

前のページへ |       

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る