製造業などの産業分野におけるIoT はインダストリアルIoTとも呼ばれ、大きな可能性を秘めている一方、新たなサイバー攻撃を生み出すリスクも抱えています。実際、すでに産業用制御システムを狙ったサイバー攻撃は発生しており、大きな被害が発生したケースもあります。このインダストリアルIoTにおけるセキュリティについて具体的に解説していきます。
ITとOT、セキュリティに対する優先順位の違い
さまざまな領域でIoTの活用に向けた取り組みが進められていますが、その際に意識しなければならないのがセキュリティです。たとえば、インダストリアルIoTの活用領域の1つとして工場やプラントなどが挙げられています。こうした場所で使われるIoTデバイス、あるいはそれを制御するシステムにサイバー攻撃が行われれば、工場の操業停止などによって莫大な損失が生まれる可能性があります。さらに悪意を持って外部から機器がコントロールされるといった事態が発生すれば、人命が危険にさらされるといったことにもなりかねません。
IoT機器へのサイバー攻撃の最新実態|25億件の通信分析から見えたこと
主に情報を取り扱うシステムやその技術を指すITに対し、工場やプラントなどの装置の運用や制御のためのテクノロジーを「OT(Operational Technology)」と呼びます。このITとOTの世界は文化や考え方が大きく異なるため、ITのセキュリティ対策をそのままOTの世界に持ち込んで適用することは現実的ではありません。たとえば、ITとOTでは、セキュリティの3要素であるC(Confidentiality:機密性)、I(Integrity:完全性)、A(Availability:可用性)に対する考え方から異なります。
ITの世界において資産となるのは基本的には情報であり、それを守ることが最優先となります。一方、OTではCIAよりも前にS(Safety:安全性)が重視されます。機械の誤作動などが生じれば大きな損失を被る可能性があるほか、人命にも影響が生じる可能性があるためです。そして、次に重視されるのは可用性です。つまり安全かつ継続して稼働し続けることがOTでは重要であるというわけです。
では、OTの領域に対してはどのようにサイバー攻撃が行われるのでしょうか。多くのケースでは、ITとOTのネットワークは分離した形で運用されているため、ITのネットワーク領域に侵入されたとしてもOT側に被害が及ぶことは決して多くありません。ただ、メンテナンスなどのためにOT側の一部の端末へのアクセスが許可されていて、ITネットワークに侵入した攻撃者やマルウェアがその経路を通じてOT側に対して情報収集を行ったり攻撃を仕掛けるといったことは十分に考えられます。
OT領域におけるセキュリティ対策の進め方
また、今後インダストリアルIoTが広まれば、制御システムや工場内で使われているデバイスがクラウドに接続されるなど、ITとOTの領域が曖昧になっていくことが考えられ、サイバー攻撃のリスクは高まっていきます。そのためOT領域においても適切にセキュリティ対策を実施することが求められます。
「組織」に対する制御システム向けのセキュリティマネジメントシステムを規定した国際標準であるIEC62443-2-1およびその認証制度であるCSMS(Cyber Security Management System)などに従い、自社のセキュリティ対策の成熟度を評価し、具体的なリスクも加味した上でロードマップを策定して実態に即した対策を進めていく、そういった取り組みが必要ではないでしょうか。
制御デバイスのセキュリティ対策が一定レベルに達していることを外部機関が認証する第三者認証制度も広まりつつあります。その1つである「Achilles Communications Certification(Achilles認証)」は、制御デバイスが一定のネットワーク堅牢性を有することを証明する、グローバルな認証プログラムです。
この認証プログラムでは、制御デバイスがネットワーク経由で不正な通信を受信したとしても正常に稼働し続ける可用性(Availability)に加え、仮に突発的な状況によって一時的に機能不全に陥ったとしても時間の経過と共に正常な状態に復帰する回復力(Resilience)が備わっていることを実際に検証します。工場やプラントで利用するデバイスを購入する際、製品選定の条件としてこうした認証プログラムの活用は今後広まっていくでしょう。
なお、インダストリアルIoTのテクノロジーは工場やプラントだけでなく、スマートメーターなど実は一般ユーザーに身近なところにあるデバイスでも使われています。こうした領域においては、物理的なセキュリティの確保の難しさがポイントになります。
入退室が管理され攻撃者が内部に侵入することが難しい工場やプラントなどと異なり、これらは誰でもアクセス可能な場所で使われるため、デバイスそのものに物理的に接続する、またはハードウェアを分解して解析することでサイバー攻撃を行うといったことも考えられるためです。そのため、これらの領域ではデバイスのハードウェアや回路の側面からもセキュリティを確保していく観点も必要になります。
おわりに
IoTの活用は企業に大きなメリットをもたらす一方、サイバー攻撃によるリスクも高まります。IoTに取り組む際には、サイバー攻撃のリスクを適切にコントロールする"守り"の視点を併せ持つことで、業務の効率化や収益の向上といった"攻め"の活動を一層加速させることに繋がるのではないでしょうか。
※ 本記事は2018年6月14日にNRIセキュアのWEBサイトに掲載された記事を元に再構成したものです。
関連情報:
