狙われる工場のIoT 日本企業の弱点は(3/3 ページ)
家庭用のIoT機器だけでなく、工場やプラントなどの機器やセンサーもネットにつながる時代に。そうした制御システムに対するサイバー攻撃の動向、対策は。
1つの案として、デバイスとクラウドとの間に疑似的なクラウドである「フォグ」を介する、「フォグコンピューティング」が挙げられるといいます。リアルタイム性が求められる処理を確実に実施しつつ、セキュリティ機能を提供。時にはフォグ内のサーバを切り替えることでサービスを継続しながら修正・アップデートできる仕組みを作ることで、システムをセキュアに保つアーキテクチャです。
また、「IoTや制御システムへの攻撃では、攻撃が発火してから対応していては遅い。マルウェアを検知し、制御系に至るまでに捕まえることができれば、制御系の安全を守れるはず。ところが検知できないマルウェアも登場しているので、インシデント検知や短時間回復機能といった制御製品のセキュリティ対策が重要になっている」と、レジリエンス(正常な状態に戻す機能)に着目したアプローチも提案しています。
日本企業の競争力にも直結するIIoTのセキュリティ
こうした背景もあって、制御システムやIIoTシステムを提供するサプライヤーへの要求は高まるばかりです。国内では内閣サイバーセキュリティセンター(NISC)が「重要インフラの情報セキュリティ対策にかかる第4次行動計画」といった形でガイドラインを定めている他、ビルや船舶など業界ごとにガイドラインが策定されつつあると村上氏は説明しました。
さらに、制御システムのセキュリティに関する標準「IEC62443」に加え、産業界によっては、サプライチェーンに対し脆弱性情報の提供をはじめとするさまざまな対策を求める「ISO28000」といった標準も定められつつあります。「日本ではまだオーナーがサプライヤーに対してそこまで求めていないが、ヨーロッパや米国ではこの標準に基づいた認証制度が進みつつある。もしこうした認定が取れなければ、日本企業が制御システムを受注できなくなるという懸念もあって、ここに来て急速に整備が進みつつある状態だ」といいます。
橋本氏、村上氏が参加するつるまいプロジェクトでは、攻撃と防御の両面から制御システムのどこにどんな弱い部分があり、どのようにそれら脆弱性をカバーするか、あるいはそこを狙った攻撃をどう監視・検知するかといった検討を行っています。
ICS研究所ではそこで得たノウハウをオンデマンドビデオ講座「eICS」で提供。また、名古屋工大ではインシデントを疑似体験できるゲーム「Turumai GO!」を作成し、どうすれば情報システム部門と現場にまたがる連携がスムーズに実現できるか、ベストプラクティスの実践を支援する取り組みも進めているそうです。
また橋本氏は議論の中で、「手動操作で安全が確保できる手段が実装されているのであれば、どんなサイバー攻撃を受けても大丈夫なはず。たとえサイバー攻撃によるものであっても、事故の規模は制御対象自身で決まる」と、重要な事柄を指摘しています。
制御システムやIIoTのセキュリティというと、「停電が起こり、プラントがストップして爆発に……」といったホラーストーリーが語られがちです。けれど、これまで長い年月をかけて制御システムで培われてきた安全解析・設計をベースにした「地に足の着いた議論」こそが重要だと橋本氏は述べています。
関連記事
- 「重要インフラ」のIoT機器、150件に脆弱性 総務省が調査
総務省の調査で、「重要インフラ」で利用されている150件のIoT機器に、パスワード設定が不適切といった脆弱性があると分かった。 - OSSの活用が広がるIoT分野、潜むリスクは
米Synopsysの「2018 Open Source Security and Risk Analysis」レポートによると、IoTも含め、さまざまな業界の商用ソフトウェアでオープンソースソフトウェア・コンポーネントの活用が広がっている。一方で、脆弱性やライセンス違反のリスクも存在する。 - 小さな親切、大きなお世話? 無償で配られるUSBデバイスやメモリのリスク
米朝首脳会談では、プレス向けにさまざまな「ノベルティ」が配られましたが、その1つ、USBで給電できる扇風機が話題に。ネット上では、USB扇風機を接続したPCがマルウェアに感染するのではないか、とリスクを指摘する声が上がりました。 - つながる世界の「安全神話」 アクセス制御が“徹底できない”ワケ
「別に何か設定をしなくても、本来つながるべき適切な相手にのみつながる」――IoT機器が普及する一方、そんな“思い込み”を持っている人は少なくありません。不正アクセスの被害を軽減するには、適切なネットワークのアクセス制御が必要と分かっているのに徹底できない理由は。
Copyright © ITmedia, Inc. All Rights Reserved.