サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

「制御システムのIoT化」がもたらすリスク、求められるセキュリティ対策は?



10月は春秋恒例の「JapanITweek」に行ってまいりました。業界の情報収集のためには、このような展示会への参加は重要ですね。

今回、私が重点的にチェックしてきたのは、今後サイバーセキュリティ上の最大の懸念となる恐れがある「制御システムのIoT化」についてです。IoT化を推奨するベンダーが、どのようなセキュリティ意識を持っているかチェックしてきました。

制御システムのIoT化は何が問題か

最初に誤解の無いように書いておきますが、制御システムのIoT化は、基本的には”進めるべきこと”だと考えています。

独立していた制御システムをネットワーク化して、動きを分析すれば、個々の分析だけでは導き出しにくい全体適正を見つけることができます。特に、工場のライン制御システムをネットワーク化してAI分析させる「スマート工場」は、相当な効果が期待できそうです。

ですので、ベンダーが雪崩を打って制御システムのネットワーク化を推奨してくるのは、正しいことだと思います。

リスクを理解し、正しい対策が行われているか

問題は、制御システムネットワーク化特有のリスクを理解し、その説明と対策が出来ているのか、という点です。ここを疎かにすると、とんでもない事態を引き起こす可能性が出てくるのです。

今回の展示会でも、制御システムIoT化ブースで、セキュリティ対策の質問を投げかけても、回答が返ってくるのは約半数でした。まあ、これでも、ほとんど回答が返ってこなかった1年前に比べると、進歩しているとは言えるのですが。

制御システムのセキュリティアップデートは行われているか

パソコンのOS、例えば「Windows10」に脆弱性が見つかったとします。すると、多くは自動アップデート、大手企業であれば、プロキシサーバで分離している状態にして、アップデートしても問題がないか確認した上でアップデート処理をしていることでしょう。

さて、制御システムではどうでしょうか。Windowsを使っているケースは少ないかも知れません。それでもOSは必ず使っています。そのOSのアップデートはしているでしょうか。

まず、実施していないと思います。なぜなら制御システムは”止まらないこと”が重要だからです。制御システムにトラブルが発生し、工場のラインが止まってしまったら、大損害が発生してしまいます。どうせ今までの制御システムはネットワークに繋がっていたわけでもないのだから、外部からの侵入の心配はほとんどありません。だったら、”そのままにしておいた方が良い”という結論になります。

アップデートしない状態でのセキュリティ対策が必要

このコントロールが制御システムセキュリティの難しいところです。セキュリティアップデートをしない状態でセキュリティ対策をしなければならないということです。このため、企業内の情報系ネットワークと同じセキュリティ対策手法では通用しない場合があるのです。

ランサムウェア「Wannacry」の侵入を許してしまった大手H社も、制御システムが原因でした。電子顕微鏡の制御システムのアップデートを認識しないまま、インターネット接続していたため、ここを起点に社内ネットワークに広がってしまったのです。

大手企業でも見逃しがある制御システムの脆弱性。ここをしっかり把握しないまま、IoT化すると、攻撃にさらされることになります。

最後に

制御システムネットワーク化のためには、それぞれの制御システムにどのような脆弱性があるのかを把握し、個別対策を施したり、外部からのネットワーク侵入を禁止する等の必要があります。

目に見えるメリットに飛びつく前に、しっかりデメリットの検証もしておきましょう。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。