近年、サイバー攻撃により工場や発電所などの大型プラントに影響がでる事例が多発しています。2015年12月と2016年12月、ウクライナでは変電所に対するサイバー攻撃を原因とする停電が発生して大騒ぎとなりました。
このような工場などで使用される制御システムを管理・運用する技術はOT(Operational Technology)と呼ばれます。IoT(Internet of Things)の活用が当たり前の時代を迎えたいま、OTのセキュリティについてどのように考えるべきか、ITのセキュリティと比較しながら解説します。
IoTの浸透で生まれた、新たなサイバー攻撃のリスク
あらゆる“モノ”をインターネットにつなぐ「IoT」(Internet of Things)の技術は、すでにさまざまな領域で利用されています。身近なところでは、フィットネスバンドや腕時計の形をしたウェアラブルデバイス、ネットワーク経由の操作やデータを取得することができる家電製品が挙げられるでしょう。車両の状態や周囲の道路状況などのデータをセンサーにより取得し、ネットワークを介して集積・分析することのできるコネクテッドカーもIoTのひとつです。
このように私たちの身近に存在するIoTがある一方、普段の生活では目にすることがない、もう一つのIoTの世界もあります。工場や発電所などの大型プラントで使われるIoTです。特に製造業では、このIoTのテクノロジーを活用した新たな取り組みを「Industry 4.0」(第4次産業革命)と呼んでいます。工場などの産業・製造・インフラ設備などでIoTを利用した例には、以下のようなものがあります。
- ◆機器の故障を事前に予知して、故障する前に部品を交換する
- ◆設備の利用を効率化して生産性を極限まで高める
- ◆IoTで取得したデータを分析して新たな価値を生み出す
ほかにも、工場などに配備するIoTデバイスや制御システムをインターネットにつなぎ、クラウドサービスなどとして提供されている豊富なコンピューティングリソースを利用して、新たなメリットを生み出すといった取り組みが進められています。
しかし、ここで留意しなければならないのはセキュリティです。これまで、工場などの制御システムは外部ネットワークとは切り離して運用することでセキュリティが確保されていると考えられてきました。一方、現実的には設定ミスや運用の都合で外部ネットワークと「うっかり」繋がってしまい、その経路からマルウェアやランサムウェアの脅威にさらされるといったセキュリティ事故の例も少なくありません。
現在では、IoTを活用した効率化や高付加価値化を実現するために、制御システムの一部がインターネットなどの外部ネットワークに接続されるケースが増えています。そのため、制御システムが設定ミスやぜい弱性を狙うサイバー攻撃にさらされるリスクが高まっているのです。
ITとは異なる考え方が求められるOT領域のセキュリティ
OTにおけるセキュリティは、ITのセキュリティとは取り組み方が大きく異なります。ITの世界は、金融資産など多く個人情報を扱うこともあり、機密性が重視されることが多いですが、OTでは可用性が重視されます。電気や水道のような社会インフラにかかわる事例が多いため、システムを止めずに常に動作し続けることが最も重要です。
もうひとつは、安全性です。OTにかかわる方々は数十年単位で安全性を突き詰めてきたため、可用性、安全性を軽視してOTのセキュリティを考えることはできません。
例として、システムのアップデートやウィルス対策ソフトの導入の違いが挙げられます。制御システムは稼働期間が10~20年と極めて長く、そのためWindows XPなど古いOSも使われています。ITの世界であれば、古いOSはセキュリティ上のリスクにつながる恐れがあることから、早急に新しいOSへアップデートすべきだと言われます。
しかし、OTの場合OSをアップデートすれば機器の制御などのために使われているソフトウェアが動作しなくなる恐れがあるため、簡単にアップデートすることはできないのです。また、マルウェアに対応するためにウィルス対策ソフトを制御システムのOSにインストールすると、誤動作だけでなく処理遅延を引き起こす可能性もあります。機器同士が「ミリ秒」レベルのリアルタイム連携をしているような環境では、僅かな処理遅延が正常稼働を妨げる原因にもなってしまいます。セキュリティ対策により可用性が失われるようでは本末転倒です。
セキュリティの原則に基づいて考えれば、ITと同様に機器のOSアップデートやウィルス対策ソフトの導入が一番です。ただ、それが難しい現実もあるため、実効性のあるセキュリティ対策を多層的に講じてリスクをコントロールすることが必要です。一言でOT領域と言っても、業界によって特性が大きくことなりますので、それも考慮することが大切です。このように、OTにおいてはITとは異なる考えでセキュリティ対策に取り組むことが求められるのです。
おわりに
事実、NRIセキュアにはマルウェアが感染して生産ラインが停止した、あるいはマルウェアを使った不正アクセスを観測したといった相談がすでにいくつも寄せられています。工場などでIoTに取り組むのであれば、サイバー攻撃を防ぐセキュリティ対策についても同時に検討していくことで、安心してIoTを活用して得られるメリットを追求していけるのではないでしょうか。
