10月は春秋恒例の「JapanITweek」に行ってまいりました。業界の情報収集のためには、このような展示会への参加は重要ですね。

今回、私が重点的にチェックしてきたのは、今後サイバーセキュリティ上の最大の懸念となる恐れがある「制御システムのIoT化」についてです。IoT化を推奨するベンダーが、どのようなセキュリティ意識を持っているかチェックしてきました。

制御システムのIoT化は何が問題か

最初に誤解の無いように書いておきますが、制御システムのIoT化は、基本的には"進めるべきこと"だと考えています。

独立していた制御システムをネットワーク化して、動きを分析すれば、個々の分析だけでは導き出しにくい全体適正を見つけることができます。特に、工場のライン制御システムをネットワーク化してAI分析させる「スマート工場」は、相当な効果が期待できそうです。

ですので、ベンダーが雪崩を打って制御システムのネットワーク化を推奨してくるのは、正しいことだと思います。

リスクを理解し、正しい対策が行われているか

問題は、制御システムネットワーク化特有のリスクを理解し、その説明と対策が出来ているのか、という点です。ここを疎かにすると、とんでもない事態を引き起こす可能性が出てくるのです。

今回の展示会でも、制御システムIoT化ブースで、セキュリティ対策の質問を投げかけても、回答が返ってくるのは約半数でした。まあ、これでも、ほとんど回答が返ってこなかった1年前に比べると、進歩しているとは言えるのですが。

制御システムのセキュリティアップデートは行われているか

パソコンのOS、例えば「Windows10」に脆弱性が見つかったとします。すると、多くは自動アップデート、大手企業であれば、プロキシサーバで分離している状態にして、アップデートしても問題がないか確認した上でアップデート処理をしていることでしょう。

さて、制御システムではどうでしょうか。Windowsを使っているケースは少ないかも知れません。それでもOSは必ず使っています。そのOSのアップデートはしているでしょうか。

まず、実施していないと思います。なぜなら制御システムは"止まらないこと"が重要だからです。制御システムにトラブルが発生し、工場のラインが止まってしまったら、大損害が発生してしまいます。どうせ今までの制御システムはネットワークに繋がっていたわけでもないのだから、外部からの侵入の心配はほとんどありません。だったら、"そのままにしておいた方が良い"という結論になります。

アップデートしない状態でのセキュリティ対策が必要

このコントロールが制御システムセキュリティの難しいところです。セキュリティアップデートをしない状態でセキュリティ対策をしなければならないということです。このため、企業内の情報系ネットワークと同じセキュリティ対策手法では通用しない場合があるのです。

ランサムウェア「Wannacry」の侵入を許してしまった大手H社も、制御システムが原因でした。電子顕微鏡の制御システムのアップデートを認識しないまま、インターネット接続していたため、ここを起点に社内ネットワークに広がってしまったのです。

大手企業でも見逃しがある制御システムの脆弱性。ここをしっかり把握しないまま、IoT化すると、攻撃にさらされることになります。

最後に

制御システムネットワーク化のためには、それぞれの制御システムにどのような脆弱性があるのかを把握し、個別対策を施したり、外部からのネットワーク侵入を禁止する等の必要があります。

目に見えるメリットに飛びつく前に、しっかりデメリットの検証もしておきましょう。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?