PCのウイルス感染や個人情報の漏えい問題が頻繁に報道されているが、製造業の生産現場にも危機が迫っている。制御システムセキュリティに明るい、VEC(Virtual Engineering Community)の村上正志事務局長に、制御セキュリティの現状について話を聞いた。
村上事務局長によると「まず、重要なこととして米国国土安全保障省DHSのICS―CERT最新レポートでは、サイバー攻撃の対象が、企業を標的にした攻撃から制御製品を攻撃対象にしているものが多くなっており、重要インフラ産業のみならず一般製造業にまで被害が広がっている。どんな工場、施設でもマルウェアによる攻撃の対象になりうるため、経営層から現場まですべての関連担当者が当事者意識を持つことが重要」だという。
危機感を持っていない人に特に多いのが「制御システムは、インターネットにつながっていないからうちは安心」「日本では事件になっていないから大丈夫」という誤解。国内でも実際、被害は報告されている。
単独で稼働している設備でも、データを保存するUSBメモリやメモリカードなどを介在してPCがウイルス感染した実例も多く、充電するつもりでつないだスマートフォンが侵入ルートとなり、ワームが制御システムの演算を妨げるインシデントも起きている。また、制御コントローラ用のコンフィギュレーション用のPCが感染し、PLCのファイルを使えなくしてしまうケースも起きている。
さらに、2010年のイランの原子力施設への攻撃(Stuxnet)は、SCADAからPLCへの目標値を差し替える方法でPLCが制御しているメカニックを破壊しており、攻撃方法は年々高度化していることを十分に認識する必要があるという。
実際に使用しているフィールドバスや制御ネットワークの仕様は、標準化規格によって公開されており、技術力を持ったハッカーや組織が攻撃コードをつくりだすことは、容易だ。また、つくり出した攻撃コードは、闇市場で売られている。
装置や機器を提供する側も無関係ではいられない。機械安全は装置メーカー/機械メーカーの責任で対応してきたが、現場でのサイバー攻撃のリスクは、現場ユーザーの責任ですべて解決できるものではすでになくなっている。
では、どう対策すればよいのか?
「制御セキュリティ対策では、まず、何が起きるのか、どういうリスクがあるのかの把握が必要で、装置ベンダーやシステムベンダーを巻き込んだ検討が必要になる。しかし、サイバー攻撃のリスクを考えていくのに、セキュアな機器の対策以外にも装置や機械の設計側の人材のスキルアップはもちろん、現場のユーザースタッフのスキルアップも重要であり、経営者はその重要度を強く認識するべき」と村上事務局長。
そのうえで、生産ラインの安全設計をしっかり行い、攻撃を受けて設備が停止してしまうことも想定し、リスク計算を行い、生産を止めないゾーン設計が必要で、「実践的セキュリティ対策をしっかり行うことが必要」(村上事務局長)としている。
政府の新サイバーセキュリティ戦略においても、技術者の養成が重要視されている。VEC参加企業は「制御システムセキュリティ対策e―ラーニング」を開講し、100を超える講座を用意している。また、村上事務局長は今年ICS研究所を設立し、「経営管理者」「製造現場の管理職」「サプライヤー(製品開発者)」「システムエンジニア」など各受講対象者別にセミナーを開催している。
詳細は各HPで。
▼VEC(http://www.vec-community.com/)
▼ICS研究所(http://www.ics-lab.com/)
オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。
