制御システムのセキュリティは“10年遅れ” 急がれる対策の今（2/2 ページ）

[國谷武史，ITmedia]

脆弱性の具体例

サイバーディフェンス研究所の福森大喜上級分析官

　制御システムにどのような脆弱性が存在するのか。サイバーディフェンス研究所 上級分析官の福森大喜氏は、制御システムの中でポンプやモータといった機器を制御するProgrammable Logic Controller（PLC）と、管理操作をするためのHuman Machine Interface（HMI）を例に、脆弱性の内容とその影響を説明した。

　PLCでは特に通信に関わる脆弱性や認証に関わる脆弱性が目立つという。PLCには多数の独自プロトコルが使用され、福森氏は「Modbus」プロトコルに関するバッファオーバーフローの脆弱性を紹介。サーバに不正なパケットを送り付けることで、攻撃者が任意のコマンドを実行できてしまうと指摘した。

　このほかにも、認証設定がデフォルトのままであることによる不正アクセス、クロスサイトスクリプティング（XSS）やクロスサイトリクエストフォージェリ（CSRF）などの脆弱性による任意のコマンド実行、ポートスキャンなどによるシステムのクラッシュといった問題が多数存在しているという。　HMIにもバッファオーバーフローやSQLインジェクション、ディレクトリトラバーサルといった脆弱性が多数存在し、任意のコマンド実行やファイルの盗聴、改ざんなどの危険性がある。

福森氏が独自に調べたインターネットに公開されている国内の制御システムの現状。100システム以上が存在するという

　また、近年注目を集めるスマートグリッドでは高機能の電力メーター（スマートメーター）にも脆弱性が存在。海外で通信経路が暗号化されていないケースや認証設定が行われていないケースがあった。また電力の使用状況から家庭のプライバシーが暴かれてしまう危険性もあるという。

　「例えば、データの送信を秒単位で設定して分析すれば、誰がどんなテレビ番組を見ていたのかといったことが容易に分かってしまう」（福森氏）

　福森氏は、制御システムのセキュリティの現状を、「10年前の情報システムと同じで、“失われた10年”とも言える」と指摘している。

急がれる制御システムの対策

　制御システムのセキュリティを向上させるための取り組みは、世界的に進みつつあるという。「IEC62443」という国際標準の策定作業が進められているほか、国際計測制御学会が産業オートメーションや制御システムのセキュリティに関する「ISA-99」を提唱している。第三者機関によるこうした標準に基づく制御システム製品の評価・認証を行う活動も広がりつつある。

　江口氏によれば、ユーザーである事業者などが「ISA-99」を指定して、システムメーカー側に第三者機関による認証の取得を求めるケースが増えており、経済産業者が2011年実施した調査でも、制御システムを輸出する企業35社のうち18社が「納入先から安全性評価を求められている」と回答した。

　国内でもこうした取り組みを急ぐ必要性が高まっている。江口氏は、「国際標準の推進」「検証環境の整備」「インシデント対応体制の整備」「人材の育成・啓発」の4つを重点分野に挙げ、「オールジャパン体制でこれらの取り組みを推進する」と述べた。

経済産業省が掲げる制御システムのセキュリティ向上におけるロードマップ

　また福森氏は、制御システム分野でセキュリティ意識を高めることが重要とし、認証や通信に関する対策や取り組みを急ぐべきだと指摘。制御システム分野とコンピュータセキュリティ分野の双方の技術者が交流などを通じて相互理解を深めていくべきだという。

　宮地氏は、「大規模な設備投資を必要とする制御システムにおいて、セキュリティが占める割合はあまり大きくはない。だが脆弱なセキュリティは設備全体に影響する」と述べ、制御システムのセキュリティ向上に業界の垣根を越えた取り組みを呼び掛けた。