狙われる工場のIoT 日本企業の弱点は(2/3 ページ)
いくつかありますが、村上氏はまず「日本企業の弱いところだが、情報システム部門と製造部門のコミュニケーションが、今もって十分にできていない。Industry 4.0展開の中で、ベンダーやマシンメーカーとユーザー、現場が連携してデータのつながりをつくっていく際、本来ならば脆弱性情報やセキュリティ対策についても連携できていなければならないが、まだこれからだ」と述べました。
セキュリティ向上を目指し、PLC(Programmable Logic Controller)をはじめとするコントローラー向けに「OPC UA」(OPC Unified Architecture)というセキュアな通信仕様が採用され、実装した機器も登場しています。ですが、開発プロセスの問題のため、既にいくつかの機器で脆弱性が指摘されているのが現状です。
村上氏は「スペック自体がよくできていても、ドライバを作る際の開発プロセスやコントローラーなど、制御製品開発プロセスにおいて脆弱性が見逃されることがある。脆弱性情報データベース(CVE)を使ったセキュアコーディングや静的解析といったセキュリティチェックを取っていないことが課題だ」と指摘しました。
橋本氏は、IoTは、機器本体からインテリジェンスを切り離してクラウド上に実装することで、新たなサービスを生み出す可能性を切り開いたと説明。その上で「インテリジェンスはプログラムで構成されており、プログラム自体に脆弱性が含まれる可能性がある。たとえセキュアコーディングを心掛けていても、『Heartbleed』の一件が示したように、利用しているモジュールに5年後、10年後に脆弱性が見つかる可能性もある」と述べました。
数年後に発覚した脆弱性を一体誰が修正するのか、古いハードウェアに修正版が適用できるのか、性能に影響は出ないのか――。こうした事柄を、「しょぼい」CPUと「けちくさい」メモリで作られ、多数バラまかれているIoT/IIoT機器でどう解決するかは、大きな課題であり、脆弱性対策を含めたメンテナンスを考慮したシステム設計が大切だと、橋本氏は話します。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。