重要インフラシステムにおけるセキュリティ対策の行方：McAfee FOCUS 2012 Report

ここ数年、セキュリティ対策の主要課題の一つになった重要インフラの制御システム。同分野で対策技術の提供を進める米McAfeeの公共部門担当CTOのフィリス・シェネク博士に、現状や課題を聞いた。

[國谷武史，ITmedia]

　水道や電力、ガスなどのライフライン、工場やプラントなど施設で稼働する制御システムのセキュリティ対策が、サイバーセキュリティ業界の重点課題に挙げられている。これまで制御システムは、情報系システムに比べるとクローズドなネットワーク環境で運用され、ハードウェアやソフトウェアも独自のものが使用されることが多いことから、マルウェア侵入などのサイバー攻撃のリスクは低いとされてきた。

　だが、近年はコストダウンや情報系システムの技術の採用が進み、以前よりもセキュリティのリスクが高まっているとされる。マルウェアを使ってイランの核関連施設の破壊を狙ったとされる2010年の「Stuxnet」事件で、制御システムに対するサイバー攻撃のリスクが顕在化したという見方も強い。

McAfee グローバルパブリックセクター担当バイスプレジデント兼最高技術責任者のフィリス・シェネク氏

　McAfeeでグローバルパブリックセクター担当 副社長兼最高技術責任者を務めるフィリス・シェネク博士は、「重要インフラの制御システムは、欧米やアジアなど世界各地でほぼ同様のものが使われ、サイバーセキュリティのリスクが共通課題になっている」と指摘する。

　このため、各国では官民を挙げての制御システムのセキュリティ対策への取り組みが本格化しつつあり、制御システムのセキュリティリスクの現状把握やガイドラインの策定などの取り組みも進む。国内でも政府省庁や情報処理推進機構、JPCERT コーディネーションセンター、制御システムベンダー、セキュリティ企業の関係者が参加する議論の場が数多く設けられるようになった。だが、「セキュリティリスクに対する制御システムの意識はまだ十分に高まっていない」（セキュリティ業界関係者）との声も聞かれる。

　米McAfeeは10月下旬、米原子力大手のWestinghouseとサイバーセキュリティ対策で協業すると発表した。Westinghouseが手掛ける原子力発電所向けの制御システムなどに、McAfeeのセキュリティ対策機能を組み込み、マルウェアや不正アクセスなどからシステムを保護するのが狙いという。

　この協業についてシェネク氏は、「制御システム向けの具体的なセキュリティ対策をようやく提供できる段階に来た」と話す。同社では米Intelとの間で「ハードウェア支援型」というセキュリティ技術の開発を進める。現時点でPC向けの新たなセキュリティ技術を一部商用化しているが、将来的にはPC以外のさまざまなハードウェアにセキュリティ機能を実装し、ソフトウェア単体では難しい高度な対策の実現を目指すという。重要インフラの制御システムにおけるセキュリティ対策も、こうした取り組みの一環だ。

　シェネク氏は、「重要インフラの保護には物理環境とサイバー環境を包括的にカバーしていく必要があり、マルウェアや不正アクセスを阻止することはもちろん、こうしたリスクがシステムに侵入しても、システムの安全性に影響を与えない仕組みを実現しなければならない」と話す。

　Westinghouseとの協業は、具体的な対策技術を実現するファーストステップという位置付けであり、重要インフラ全体でのセキュリティレベルを高めていくには、より広範な連携が欠かせない。「重要インフラを監督する各国の政府機関や公的なセキュリティ組織、研究機関、民間企業など、あらゆる組織間の連携をグローバルで進めなければならない」とシュネク氏。

　サイバー攻撃のリスクが日常化しつつある今、重要インフラにおける具体的なセキュリティ対策も実現も急を要する状況となりつつある。