中小製造業にとってのセキュリティリスクは何か--シマンテックが解説

國谷武史 (編集部) 2018年02月20日 06時00分

  • このエントリーをはてなブックマークに追加

 シマンテックは、中小の製造業にとってサイバーセキュリティが身近な課題になったとし、そのリスクや対策の考え方などを解説する記者説明会を開催した。こうした企業への意識啓発が目的だが、製造業以外にも参考になる視点が紹介された。

 製造業にとってITは長年、経理や人事などの管理部署が利用する情報系システムのものと認識されてきた。生産設備などのシステムは「産業制御システム」と呼ばれ、情報系システムの汎用的な製品とは異なる専用の装置やソフトウェアが利用される。それでも近年は「IoT」などの技術トレンドが製造現場に到来。シマンテックは、情報系システムでのセキュリティリスクとは無縁ではなくなりつつあると指摘する。

 産業制御システムでもWindowsなどのIT製品を採用する機器は多い。ただ、安定稼働を最優先にする要件特性から採用されるIT製品は、Windows XPのような一定の開発が済んでいる“枯れた”技術であることが少なくない。情報系システムにとってXPなどの古い製品は、既にサポートが終了してセキュリティリスクが高いと認識されているが、産業制御システムでは、上述の要件特性に照らせば、開発途上にある新しい製品の使用がかえってリスクになることを懸念する。さらに、情報系と制御系のシステムはそれぞれ別のネットワーク環境に接続され、情報系システムのネットワークに侵入する脅威が制御系におよぶとはあまり考えてこられなかった。


シマンテック 日本・太平洋地域担当最高技術責任者のNick Savvides氏。記者説明会にビデオ会議で参加した

 シマンテックで日本と太平洋地域市場の最高技術責任者を務めるNick Savvides氏は、情報系システムと産業制御システムのIT製品やセキュリティに対する見方の違いを“エアギャップ”と表現する。産業制御システムでは、このエアギャップが大きなセキュリティリスクをもたらし、主に設備や機器の保守、遠隔制御や監視、サポートなどにおけるアクセス環境や機能、プロセスといった部分が「穴」となって、サイバー攻撃の侵入口になると指摘する。

 情報系システムでは、「穴」となりやすい部分にファイアウォールやアンチウイルス、また、ユーザー認証といったセキュリティ対策を講じる。産業制御システム、例えば、複数の拠点にある生産ラインの稼働状況を把握したり、あるいは機器を保守したりする場合、ネットワーク経由で作業を行うため、同様に「穴」が生じやすい。だが、上述の懸念や従来の認識、また、ITセキュリティ製品が生産設備に与える影響が不透明だったことから、あまり対策が講じられていなかった。仮に攻撃者が、産業制御システムの「穴」から不正アクセスすれば、生産ラインが緊急停止し、製品を取引先に出荷できなくなる事態や、担当者が事故に巻き込まれて生命に危険が及ぶような状況が発生する恐れがある。

 Savvides氏が挙げた中小の製造業が考えるべきというセキュリティ対策のポイントは、下記の通り。これら全てをいきなり実行するとなると、非常に大きな費用や人的な負担を伴うため、まずはシステムを担当する従業員などのIDとパスワードの運用管理、そして認証が重要だと解説している。

製造業が考えるべきセキュリティ対策のポイント

  1. “エアギャップ”は侵入されることを認識する。システムを入れ替えるなどの場合に侵入口になる恐れのある部分を把握し、対策を講じる
  2. 安全性を確認したアプリケーション(ホワイトリストアプリケーション)だけを稼働させ、管理を行う。「サンドボックス」(システムにアクセスする通信などを解析する製品)を利用する
  3. 強力な認証を導入する。システムで利用する機能などを制限(ロックダウン)する。人工知能(AI)技術などを活用する不正プログラム対策を適用する
  4. 設備メーカーなどと接続されているネットワークの通信や機器の稼働状況を監視、検査する
  5. セキュリティ製品メーカーなど外部の専門会社のサービスを活用する

 IDやパスワードの適切な管理は、製造業に限らずシステムの利用で最も基本的な対策となる。攻撃者は、まず正規のIDやパスワードを盗み取り、正規の利用者になりすましてシステムを不正に操作することを狙うとされるためだ。ただ、インターネットの闇市場では膨大な数のIDやパスワードの情報が売買されており、“適切な管理”がどんな企業でも徹底されているとは言い難い。特に、中小企業では万一に備えてだれもがシステムを操作できるようにする、あるいは管理の面倒さを嫌うなどの理由から、複数の従業員で1つのIDやパスワードを共有しているケースは多いようだ。

 Savvides氏は、可能であればシステムで利用者を認証する際に、メールなどに通知される一時的なパスワード(ワンタイムパスワード)も利用した多要素認証の利用や、1つのIDとパスワードを共有している状態を見直し、従業員ごとにIDを割り当てて認証を強固にすることを推奨している。


産業制御システムでも、インターネット経由でメーカーが製造ロボットの稼働データを収集したり、遠隔から保守したりする時代が来ている。産業制御システムで従来の常識とされた「閉鎖的な環境で安全」という“エアギャップ”は過去のものだという(シマンテック資料より)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]