狙われる工場のIoT 日本企業の弱点は（3/3 ページ）

[高橋睦美，ITmedia]

　1つの案として、デバイスとクラウドとの間に疑似的なクラウドである「フォグ」を介する、「フォグコンピューティング」が挙げられるといいます。リアルタイム性が求められる処理を確実に実施しつつ、セキュリティ機能を提供。時にはフォグ内のサーバを切り替えることでサービスを継続しながら修正・アップデートできる仕組みを作ることで、システムをセキュアに保つアーキテクチャです。

　また、「IoTや制御システムへの攻撃では、攻撃が発火してから対応していては遅い。マルウェアを検知し、制御系に至るまでに捕まえることができれば、制御系の安全を守れるはず。ところが検知できないマルウェアも登場しているので、インシデント検知や短時間回復機能といった制御製品のセキュリティ対策が重要になっている」と、レジリエンス（正常な状態に戻す機能）に着目したアプローチも提案しています。

日本企業の競争力にも直結するIIoTのセキュリティ

　こうした背景もあって、制御システムやIIoTシステムを提供するサプライヤーへの要求は高まるばかりです。国内では内閣サイバーセキュリティセンター（NISC）が「重要インフラの情報セキュリティ対策にかかる第4次行動計画」といった形でガイドラインを定めている他、ビルや船舶など業界ごとにガイドラインが策定されつつあると村上氏は説明しました。

　さらに、制御システムのセキュリティに関する標準「IEC62443」に加え、産業界によっては、サプライチェーンに対し脆弱性情報の提供をはじめとするさまざまな対策を求める「ISO28000」といった標準も定められつつあります。「日本ではまだオーナーがサプライヤーに対してそこまで求めていないが、ヨーロッパや米国ではこの標準に基づいた認証制度が進みつつある。もしこうした認定が取れなければ、日本企業が制御システムを受注できなくなるという懸念もあって、ここに来て急速に整備が進みつつある状態だ」といいます。

　橋本氏、村上氏が参加するつるまいプロジェクトでは、攻撃と防御の両面から制御システムのどこにどんな弱い部分があり、どのようにそれら脆弱性をカバーするか、あるいはそこを狙った攻撃をどう監視・検知するかといった検討を行っています。

　ICS研究所ではそこで得たノウハウをオンデマンドビデオ講座「eICS」で提供。また、名古屋工大ではインシデントを疑似体験できるゲーム「Turumai GO！」を作成し、どうすれば情報システム部門と現場にまたがる連携がスムーズに実現できるか、ベストプラクティスの実践を支援する取り組みも進めているそうです。

　また橋本氏は議論の中で、「手動操作で安全が確保できる手段が実装されているのであれば、どんなサイバー攻撃を受けても大丈夫なはず。たとえサイバー攻撃によるものであっても、事故の規模は制御対象自身で決まる」と、重要な事柄を指摘しています。

　制御システムやIIoTのセキュリティというと、「停電が起こり、プラントがストップして爆発に……」といったホラーストーリーが語られがちです。けれど、これまで長い年月をかけて制御システムで培われてきた安全解析・設計をベースにした「地に足の着いた議論」こそが重要だと橋本氏は述べています。