都内某所にある日立ソリューションズのビルの一室に古くから存在しているが誰にも知られていない特命課が存在する。ソリュートくんのアンテナにキャッチされるさまざまなITのお悩みを特命課社員、甲斐結子とソリュートくんの二人で解決していく
IoT時代の到来で、狙われ始めた制御システムセキュリティ
これまで、サイバー攻撃といえば、PCやサーバーが標的となるのが一般的で、設備や機械を制御するシステムには無縁のものと考えられていました。
ところが、制御用コンピュータのPC化や、ネットワークを経由した保守・監視システム、そしてIoTシステムや、制御システムがインターネット経由でもアクセス可能になるなど、制御システムもさまざまなセキュリティリスクに直面する時代になってきました。
日立ソリューションズの「制御システムセキュリティソリューション」は、これまでサイバー攻撃に対して無防備だった制御システムのセキュリティ対策を、コンサルティングから設計・構築、運用/監視までトータルで提供するソリューションです。
制御システムに迫る脅威
これまで、PCなどと違って、産業機器や設備に使われる制御システムはセキュリティリスクが低いものと考えられてきました。その理由として、制御システムでは、通信プロトコルや制御用アプリケーションは独自のものが使われ、ネットワークも産業機器専用のPLC※1やHMI※2などのコントローラや、センサー、アクチュエーター※3などの機器だけが接続されているという構成が一般的だったことが挙げられます。
ところが近年、これらの機器にもWindowsやLinuxといった汎用OSが使われるようになり、セキュリティリスクに関してはオフィス用PCと同等になってきました。
この結果、独立した内部ネットワークを使っていたとしても、制御用のプログラムやデータが入ったUSBメモリーを介してマルウェア(ウイルスなどの害を与えるソフトウェア)に制御用PCが感染してサイバー攻撃されてしまう可能性が高まっています。
また、制御や機器の監視目的で、オフィス業務用のネットワークとつながれるようになり、通信プロトコルも、TCP/IPのような一般的なものが使われつつあります。この結果、インターネットを介したサイバー攻撃も可能になりつつあります。
これまでのように、「制御システムだからセキュリティは安心」ということではなくなってきています。
※1 PLC(Programmable Logic Controller):制御システムにおいて、自動機械の制御を行う装置
※2 HMI(Human Machine Interface):人間と機械が情報をやり取りするための手段や、そのための装置やソフトウェア
※3 アクチュエーター:PLCによる制御によって、電気や油圧、空気圧などのエネルギーを直線や回転の運動に変える機械装置
大きな損害をもたらす、制御システムへのサイバー攻撃
以前より格段にセキュリティリスクが高まっている制御システムですが、その対策は十分とは言えないのが現状です。
多くの製造業では、製造設備に関する管理は製造管理部門が担っており、情報システム部門の管轄外となっています。したがって、制御システムの管理もサイバー攻撃対策の知見を持つ情報システム部門が効果的に対応することが難しいという企業も少なくありません。
また、セキュリティ対策に十分な知見を持たない経営層や製造部門の責任者にとっては、セキュリティ対策は「コスト」とみなされ、投資を渋られることも少なくありません。
しかし、制御システムへのサイバー攻撃は、機器や設備の停止や破壊など、物理的な損害を与え、製造業にとって最大のリスクである「製造ラインの停止」や「事故の発生」を引き起こします。
実際、すでに国内外でさまざまな制御システムに対するサイバー攻撃が始まっています。
国内の工場では製造ラインの能力低下や停止などといった被害事例が報告されており、数億円単位の損害が出ています。また、海外では原子力関連のプラントが攻撃を受けて稼働停止になってしまうといった、人命にもかかわる大事故にもつながりかねない被害も出ています。
このように、今や制御システムのセキュリティ対策はサイバー攻撃に対する「保険」として欠かせない投資なのです。
