「制御システムのIoT化」がもたらすリスク、求められるセキュリティ対策は?|サイバーセキュリティ.com

「制御システムのIoT化」がもたらすリスク、求められるセキュリティ対策は?



10月は春秋恒例の「JapanITweek」に行ってまいりました。業界の情報収集のためには、このような展示会への参加は重要ですね。

今回、私が重点的にチェックしてきたのは、今後サイバーセキュリティ上の最大の懸念となる恐れがある「制御システムのIoT化」についてです。IoT化を推奨するベンダーが、どのようなセキュリティ意識を持っているかチェックしてきました。

制御システムのIoT化は何が問題か

最初に誤解の無いように書いておきますが、制御システムのIoT化は、基本的には”進めるべきこと”だと考えています。

独立していた制御システムをネットワーク化して、動きを分析すれば、個々の分析だけでは導き出しにくい全体適正を見つけることができます。特に、工場のライン制御システムをネットワーク化してAI分析させる「スマート工場」は、相当な効果が期待できそうです。

ですので、ベンダーが雪崩を打って制御システムのネットワーク化を推奨してくるのは、正しいことだと思います。

リスクを理解し、正しい対策が行われているか

問題は、制御システムネットワーク化特有のリスクを理解し、その説明と対策が出来ているのか、という点です。ここを疎かにすると、とんでもない事態を引き起こす可能性が出てくるのです。

今回の展示会でも、制御システムIoT化ブースで、セキュリティ対策の質問を投げかけても、回答が返ってくるのは約半数でした。まあ、これでも、ほとんど回答が返ってこなかった1年前に比べると、進歩しているとは言えるのですが。

制御システムのセキュリティアップデートは行われているか

パソコンのOS、例えば「Windows10」に脆弱性が見つかったとします。すると、多くは自動アップデート、大手企業であれば、プロキシサーバで分離している状態にして、アップデートしても問題がないか確認した上でアップデート処理をしていることでしょう。

さて、制御システムではどうでしょうか。Windowsを使っているケースは少ないかも知れません。それでもOSは必ず使っています。そのOSのアップデートはしているでしょうか。

まず、実施していないと思います。なぜなら制御システムは”止まらないこと”が重要だからです。制御システムにトラブルが発生し、工場のラインが止まってしまったら、大損害が発生してしまいます。どうせ今までの制御システムはネットワークに繋がっていたわけでもないのだから、外部からの侵入の心配はほとんどありません。だったら、”そのままにしておいた方が良い”という結論になります。

アップデートしない状態でのセキュリティ対策が必要

このコントロールが制御システムセキュリティの難しいところです。セキュリティアップデートをしない状態でセキュリティ対策をしなければならないということです。このため、企業内の情報系ネットワークと同じセキュリティ対策手法では通用しない場合があるのです。

ランサムウェア「Wannacry」の侵入を許してしまった大手H社も、制御システムが原因でした。電子顕微鏡の制御システムのアップデートを認識しないまま、インターネット接続していたため、ここを起点に社内ネットワークに広がってしまったのです。

大手企業でも見逃しがある制御システムの脆弱性。ここをしっかり把握しないまま、IoT化すると、攻撃にさらされることになります。

最後に

制御システムネットワーク化のためには、それぞれの制御システムにどのような脆弱性があるのかを把握し、個別対策を施したり、外部からのネットワーク侵入を禁止する等の必要があります。

目に見えるメリットに飛びつく前に、しっかりデメリットの検証もしておきましょう。


SNSでもご購読できます。