産業用システムが狙われている―セキュリティ対策の現状

産業用制御システムのセキュリティリスクが急激に上昇しているといわれています。IoTが進歩するなか、製造業は今どのようなリスクにさらされているのでしょうか。また、各国でどのような被害を受け、どのような対策が進められているのでしょうか。制御システムのセキュリティ対策を考えます。

急増する製造業のセキュリティリスク

製造業のセキュリティリスクが急激に高まっているとする調査結果が公表されています。トレンドマイクロ社による2つの調査結果を見てみましょう。

製造業のセキュリティ実態

トレンドマイクロ社は「法人組織におけるセキュリティ実態調査 2017年版」を公表しました。これは国内民間企業や官公庁、自治体を対象に、セキュリティインシデント(問題)の被害発生状況を調査したものです。これによると、全対象1361件のうち60.5%に何らかのインシデントが発生したという回答が得られ、セキュリティの脅威はもはや対岸の火事ではないことを表しています。

この中で製造業はというと、近年増加している「標的型サイバー攻撃」が16.7%と、全体の中でも多くなっています。また「なりすましメールの受信」が22.2%、「ビジネスメール詐欺」が16.7%と全業種の中で最多となっているほか、USBやタブレットなどの紛失・盗難といった内容も目立ちます。

製造業の重大被害発生率を見てみると、42.6%となっており、2016年の31.5%に対し10%以上も増加しています。また被害総額は1億9250万円で、全体の平均より低いものの、被害により多くの損失が発生していることが分かります。

IoTとサイバー攻撃

このようにセキュリティリスクが高まるなか、製造業はどのような対応を取っているのでしょうか。

トレンドマイクロ社は、IoTとセキュリティリスクについてのセミナーを2016年に開催しました。ここでは、急速に進むIoT化によって利便性が向上する一方、どこからでもサイバー攻撃を受ける可能性も同時に増加していると指摘しています。さらに、工場内の機器はオフィス用機器と比べセキュリティ対応も遅れているとしています。

またこのセミナーの中では、外部から情報を見ることができるコンピューターがいかに多いか、というサイバーリスクについても紹介されました。これは特殊な検索エンジンを使い、インターネットに接続されながらもセキュリティの不完全なデバイスを調査したものです。製造業の工場や発電所の機器などもこの中に含まれており、サイバーリスクに関する認識が足りていないことが分かります。

また、産業用制御システムに絞った調査結果も発表されており、PLC(プログラマブルロジックコントローラ)が例に挙げられています。PLCは、自動化されたシステムの制御プログラムを司る、制御の頭脳ともいえる部分で、これにサイバー攻撃を受けた場合、重大な事故が発生する恐れもあります。調査結果では、東京・大阪を含む5都道府県において、外部にさらされているPLCが60以上あったことを報告しています。

産業用制御システムが被害に遭うと

では、工場の生産ライン、プラントなどで使われている制御システムが乗っ取られた場合、どのようなことが起こり得るでしょうか。

例えば制御の中枢となっているPCがウイルスに感染した場合、生産ラインが停止することは容易に想像できます。さらに、悪意のある攻撃者によって制御の一部または全体が操られた場合はどうでしょう。産業用ロボットの暴走、機器の異常作動による過熱や爆発など、設備損壊や人的損傷、周囲にまで被害の及ぶ環境破壊といった甚大な被害を引き起こす恐れさえあります。

しかしこれは、未来の危機に対する恐れではありません。産業用制御システムに対する攻撃により、実際に海外では事故が引き起こされ、国内でも被害が発生しているのです。

産業用制御システムの被害事例

海外のみならず、国内の製造業もこのようなリスクにさらされている現状にあります。実際に発生した被害事例には次のようなものがあります。

2005年ダイムラー社の自動車生産ライン停止

ウイルス感染したPCが接続されたことにより各工場のシステムがダウンした事例です。自動車生産ラインが50分間停止し、総額17億円の被害が出ました。

2008年トルコの石油パイプライン爆発

トルコで、石油パイプラインを爆発させた攻撃です。監視カメラのネットワークから入り込んだサイバー攻撃により、警報装置を停止。そのうえで制御システムに侵入、石油パイプ内の圧力を高め爆発させた可能性が高いとされています。

2010年イラン核燃料施設の設備破壊

イランでは核燃料施設の設備が破壊されるという、恐ろしい事案が発生しました。PLCが乗っ取られ、周波数変換装置が攻撃された結果、遠心分離機に過剰な負荷がかかり破壊されました。

2017年ホンダの自動車生産ライン停止

国内でも産業用制御システムへの攻撃事例があります。ホンダの狭山工場では、生産ラインを制御するPCがランサムウェアによる攻撃を受け、生産ラインが停止、主要車種を含む約1000台分の生産が止まる被害を受けました。

国内外の対策と取り組み

こういった被害とセキュリティリスクの拡大に対し、国内外でさまざまな取り組みが進められています。

野村総合研究所グループの情報セキュリティ専門会社NRIセキュアは、米GEデジタル傘下のワールドテックとの協業を発表しました。両社により、産業用制御システムについてのセキュリティ分野において、コンサルティングやセキュリティログ監視サービスの提供などが進められます。

経済産業省の外郭団体IPA(情報処理推進機構)では、「制御システムのセキュリティリスク分析ガイド」を公開しています。このガイドは、セキュリティリスク分析の理解を促進し、具体的な手順や手引きの提示を目的としています。

また、国でもこの問題に取り組んでいます。経済産業省は総務省と協働し、サイバーセキュリティ戦略の一環として「IoTセキュリティガイドライン」を策定しました。この政策は、商務情報政策局 サイバーセキュリティ課が中心となり進められています。

制御システムのセキュリティ対策は3つの取り組みを

セキュリティ分野の企業や、公的機関によりセキュリティ対策支援が進められていますが、現状すべてを完全に防ぐに至っていません。自社の制御システムを守るには、組織・手法・技術の3方向から対策が必要です。

  • 経営者と上層部の問題意識改革、規定・マニュアルの整備と従業員教育・対策チームを組織
  • リスクアセスメント・ITシステムネットワークと制御システムネットワークの切断
  • 侵入テスト・制御システム特化のファイアウォール導入・セキュリティログの監視と分析

これらの対策を強化し、「隙のない」制御システム構築が必要となっています。

参考:

リタール公式Webサイト

関連記事