デジタルリスク総研は、デジタルリスクに関する研究を行い、その成果を社会に還元することによって、デジタルリスクを低減させることを目的とした研究機関です。MORE

ハッカー最前線レポート④
制御システムもセキュリティと向き合う時代

2018年10月11日

今夏開催されたハッカーカンファレンスのDEF CON(デフコン)で取り上げられた内容やキーワードを元にした連載4回目は『制御システム』について取り上げます。

shutterstock_609092369

狙われる制御システム

昨年猛威を振るったWannaCryというランサムウェアをご存じでしょうか。
Windowsを標的として感染するマルウェアであり、ネットワーク経由で感染拡大活動を行い、感染するとパソコン内のデータを暗号化し、復号するための身代金を要求してきます。なお、身代金は支払わないようにアドバイスが行われています。その理由は、身代金を支払っても、データを復号できた例がないため、攻撃者側で身代金支払者と支払者が持っているデータとの紐付けができていないと推察されるから、です。

海外ではここ数年続けて重要インフラといわれる産業制御システムがサイバー攻撃の被害にあっています。2015年と2016年はウクライナにおいてサイバー攻撃によって停電という市民生活に直接影響の出る被害が発生、2017年には中東で中核的な産業制御システムに対するサイバー攻撃によって工場が一時的に全停止に陥った事例が報告されています。このほか、古くは2010年にイランの、とある工場のウラン濃縮用遠心分離機を標的とし、全て稼働停止に追いやったStuxnetの事例があります。

このマルウェアにより、海外だけでなく日本においても多くの企業が感染被害にあっています。特にインターネットから隔離されている工場内の制御システムでも感染し、工場のラインが一時的に停止する事例も見られ、制御システムもサイバー攻撃からのリスクに晒されていることが一般に認知され始めるきっかけとなっています。

制御システムでは、一般的に特殊なプロトコルで通信や制御が行われており、ネットワークもインターネットと直接通信ができないようになっています。こうした理由から、制御システムはサイバー攻撃を受けるリスクは少ないと考えられてきました。

制御システムは情報システムと異なり、事故が発生すると人命に関わる事態を第一に考えて設計されています。加えて、稼働時間に比例して利益を生むことから、システムが継続して稼働できること、いわゆる「可用性」が重要視されます。そのため、制御システムでは、脆弱性などに対応するためにシステムにパッチを適用すると可用性が損なわれるため、システムの操業開始後に一度もパッチ適用が行われていないというのは、よくある事例です。

こうした従来の考え方を見直す時期に来ているのは、Stuxnetから中東の事例など、パッチ適用が行われていれば未然に防げたと想定されるインシデントが発生しているからです。4年前からデフコンで「ICS Village」が開催されているのも、そうした制御システムにおけるセキュリティへの意識を変えることが目的となっています。

今年は昨年よりもおよそ2倍のスペースで開催され、電力システムや水道の制御システムなどの模擬システムが展示されていました。ただ展示するだけではなく、コンテスト用として参加者が実際に制御システムで利用されている機器に対して攻撃が可能なシステムも用意されていたり、制御システム向けセキュリティ製品のデモ用として、攻撃の可視化や防御のための制御を見られるようになっていたり、サイバー攻撃を受けるとどういう脅威が伴うのかを身近に感じられる環境となっていました。


必要な可用性を如何に担保するかが課題

制御システムがサイバー攻撃に狙われていても、セキュリティ対策が定着しない最大の理由は「可用性の維持」にあります。
今般、地震によって大規模停電「ブラックアウト」が発生する事例を日本として経験しましたが、早期に復旧するため、甚大な被害を受けた設備以外を有する発電所以外に負荷を掛けることを是とする対応がなされました。この対応自体は、非難されるものではありませんが、生活に直結する制御システムに対して、無理をしてでも停止は最小限に抑える圧力があることは明らかになったといえます。

制御システムは、定期的にメンテナンスのために計画停止していますが、現状その計画停止期間中にセキュリティ対応は入っているという事例は見られません。
セキュリティ対応をすることで停止期間が延びる可能性があるためですが、停止期間が延びると収益性も低下することもセキュリティ対応が行われにくい一つの要因と考えられます。

安全神話は崩壊し、24時間営業のコンビニも見直しの必要性が議論されています。
そのような時代だからこそ、セキュリティ対応という安全確保のために可用性への考え方を見直す時期が来ているのかも知れません。

03-6550-9281

お問い合わせ

  • 大阪06-6210-5017

デジタルリスク総研について

日本におけるSNSの利用率はここ数年増加の一途をたどり、2015年3月の調査では実に77%に至りました。企業もこれに比例してSNSをマーケティングに活用しようという動きが高まり、今日では既に一般的なこととなっています。ソーシャルメディアマーケティングは、話題の拡散、属性によるターゲティングや双方向のコミュニケーションといったマーケティングの多様性を生み出し、この成否が顧客エンゲージメントの獲得を左右するようになりました。

しかし、その一方で、ネット炎上件数もまた年々増加し、昨年は遂に1,000件を超え、企業としては、炎上させないSNSコミュニケーション術や、万が一炎上の火種が生じた際にどのように対応するかというリスク管理体制の整備が求められています。これは、ソーシャルメディアの活用を控えるという意味ではなく、ソーシャルメディアを有効に活用するための手段でもあります。

デジタルリスク総研は、2007年からソーシャルリスクマネジメントに着目し事業を行っている株式会社エルテスによって、ソーシャルリスク総研として、2016年2月に設立され、ソーシャルリスクを低減させることを目的とした研究機関として、ネット炎上等のソーシャルリスクに関する研究を行い、その成果を社会に還元してまいりました。そして、2016年11月にデジタルリスク総研と改称し、ソーシャルリスク分野に加えて、企業内部の不正や金融犯罪の検知をはじめとしたリスクインテリジェンス分野における研究を開始しました。このサイト上では、企業に役立つ実践的なデジタルリスクマネジメントについて、定期的に情報発信を行いますので、企業等のデジタルリスクマネジメントに是非ご活用ください。

※ 13歳以上の男女。(出典)総務省「社会課題解決のための新たなICTサービス・技術への人々の意識に関する調査研究」(平成27年)

運営者について

デジタルリスク総研は株式会社エルテス内にございます。
株式会社エルテスでは、次のような事業を行っております。お気軽にご相談ください。