SCADAセキュリティ 2

制御システムの現状について

制御システムでは、企業のオフィスや個人宅と同じように「パソコン」が多く使用されています。生産ラインや化学プラントといえども、監視制御にはWindowsやLinuxなどの汎用的なOSを搭載したパソコンやサーバがよく使われています。

これらのパソコンやサーバを接続するネットワークには「イーサネット」と呼ばれる世界中のオフィスや家庭で一般的に利用されている仕組みが利用されています。

パソコンとサーバとイーサネットという汎用製品・オープンなプロトコルにより、生産ラインの監視制御、品質の管理、プロセスの制御が稼働しています。

工場の生産ラインやプラントで使われているパソコンやサーバがウイルス感染すると、生産ラインやプラントが停止しまう可能性があります。ハッカーなどに悪意のある攻撃をしかけられた場合、プラントの爆発などにより人的な損傷が出たり、設備の損壊、環境破壊を引き起こす可能性もあります。そこまでの被害が出なくても、監視制御が止まってしまうことにより、不良品が増加したり、プラント自体が停止することは容易に起こりえます。

前回、「SCADAセキュリティ 1」でみたように、実際に、過去に国内外で工場の生産ラインが停止し数億円の損害をもたらしたり、製鉄所のオペレーションが停止するなど、さまざまな被害が発生しています。

SCADAセキュリティ 1

制御システムでは、企業サイトやウェブサービスなどの情報システム同様に、不正アクセスやウイルス感染等のサイバー攻撃のリスクが急増しています。しかし、セキュリティ対策は意外なまでに意識されていないケースが多く、非常に脆弱なシステムとなっています。結果的に、工場の生産ラインの停止や設備の損壊、環境破壊等を引き起こし、企業に計り知れない損失を与える可能性が高まっています。

2020年に東京で開催されるオリンピック・パラリンピックのような大きなイベントはサイバー攻撃のターゲットとなりやすく、その脅威がさらに高まることが予想されます。

日本政府も重要インフラをとりまくサイバー環境や近年増加するサイバー攻撃の重大さを認識しております。2014年11月にサイバーセキュリティ基本法が成立しましたが、その中で電力・ガス等の重要インフラ分野については大きく取り上げられ、セキュリティ対策が強化されることになりました。

我が国におけるサイバーセキュリティ政策推進体制

我が国におけるサイバーセキュリティ政策推進体制

 

サイバーセキュリティ基本法~重要インフラ関係部分

サイバーセキュリティ基本法~重要インフラ関係部分

出典: 内閣サイバーセキュリティセンター(NISC)「重要インフラ等に係るサイバーセキュリティ政策の概要

もはや、制御システムのセキュリティの問題は、想定される被害額の大きさや影響がもたらされる範囲の大きさから、事業継続計画(BCP)において想定すべき主要なリスクの一つとなっており、経営責任が問われる課題として捉える必要があります。

経営層が実施すべきポイント

電気、ガス、水道などの重要インフラや工場を操業する経営層は、制御システムセキュリティに取り組む環境を整えることが課題となります。

その際、制御システムセキュリティ対策のマネジメント組織を構築することが重要になります。現状を把握しセキュリティ対策を浸透させていくための取り組みを推進する担当組織(または担当者)を設置し、セキュリティポリシーの策定、対策の計画と実行、実行状況の監査と改善サイクル、要員への教育を遂行します。

制御システムに関して、公に認められる第三者認証として、「セキュリティマネジメントシステム」認証(CSMS)があります。この認証を取得できるように組織を構築するのもよいでしょう。

なお、制御システムのセキュリティを事業継続計画(BCP)で想定する主要なリスクとして捉える場合、自社だけでなく、子会社や取引先を含むサプライチェーン全体のセキュリティを検討することも重要となってきます。

制御システムの導入及び調達の担当者、制御システムの運用・管理に携わる管理者に指示を出し現状の対策状況を確認しましょう。

次回は、制御システムのセキュリティ対策をする際のポイントをみていきます。