セキュリティ

制御システムのセキュリティ対策の重要性と知っておくべきリスクなど

インフラ施設や工場などの制御システムをターゲットとしたサイバー攻撃が近年増加しています。かつてはクローズドな環境に守られ、セキュリティに関してはさほど大きなリスクはないとされていた制御システムですが、現在では事情が変わってきています。

どのようなリスクを考慮し、どんな対策を講じるべきなのか、制御システムのセキュリティ対策について解説します。

制御システムとは

制御システムとは、主に重要インフラ施設、工場、プラントなどを制御、管理するシステムを指します。例えば、電力、ガス、水道、鉄道などの社会インフラ、石油、化学、鉄鋼、自動車・輸送機器、精密機械、食品、製薬、ビル管理などの工場やプラントに制御システムは利用されています。なお、自動車や家電製品などを制御する装置も制御システムと呼ばれることがありますが、ここでは施設や工場の制御システムについて述べていきます。

制御システムの多くは24時間365日稼働することを前提として作られています。システムを停止するのは基本的に定期的なメンテナンスのときのみです。

また通常、制御対象である機械設備と同時にシステムが構築されて運用が開始されます。そのためシステムの運用期間も長くなる傾向があります。現在稼働している制御システムのなかにも、10年以上にわたって稼働し続けているものが少なくないでしょう。

したがって制御システムには、現在から見ると古い設計思想で設計されているシステムが、長年にわたって休みなく稼働し続けているという傾向があります。

制御システムのセキュリティ対策の重要性

従来、制御システムはサイバー攻撃などによるセキュリティ問題とはほぼ無縁でした。なぜなら、インターネットや社内の情報システムとは接続されていない、物理的に隔離された環境に置かれていることがほとんどだったためです。また、独自OSを使用した機器や、独自の通信プロトコルを適用したネットワーク機器で構成されていたことも理由に挙げられます。

しかし、現在ではそうした事情も様変わりしています。メンテナンス用システムなど部分的に汎用OSが使用されることが増え、ソフトウェアのインストール、バージョンアップ、バックアップなどの対応の際にマルウェアに感染するリスクが生じています。さらに情報システム、セキュリティの監視システムなどと重層的に連携する仕組みが作られ、内部ネットワークからの感染リスクも拡大しています。近年では産業用IoTの普及が進み、とりわけ製造工場内のさまざまな機器がインターネットなどのネットワークとつながるようになりました。もはや制御システムはクローズド環境下にあるといえなくなっています。

こうしたリスク要因の増加により、制御システムのセキュリティ対策の重要性が増しています。

制御システムと情報システムのセキュリティ対策の考え方

情報システムにはセキュリティの3要件と呼ばれるポイントがあります。「機密性」、「完全性」、「可用性」の3つがそれで、情報システムにおいては機密性が最も優先度が高く、その後に完全制、さらに可用性が続くとされています。

しかし、制御システムではこの優先順位が変わります。すなわち、可用性が最も優先され、次に完全性、そして機密性が続くとされています。

可用性とは「現在動いているシステムを停止しない」ということです。制御システムは停止するにも、再始動するにも多大なコストがかかることが多いためです。重要インフラや大型プラントほどその傾向は強くなります。停止している間に生じる被害も甚大になる可能性があります。

制御システムのセキュリティにおいては、できる限り可用性を損なわないまま、完全性、機密性を保つことが求められます。

制御システムのセキュリティ対策

制御システムのぜい弱性が顕在化しつつある現在、多くの企業では改めて「制御システムのためのセキュリティ対策」を構築しています。

そのためにまず必要なのは、制御系に特化したセキュリティ担当組織の設置です。そのうえで現状分析、ぜい弱性の特定、セキュリティポリシーの策定、セキュリティ対策の実行状況の監査、改善への取り組み、従業員への教育などを行っていきます。

ぜい弱性に対する有効策としては、ネットワーク分離（ゾーニング）の推進が考えられます。制御システムと情報システム、メンテナンス用システムなどを切り離し、接続する際は厳重なマルウェア検知などを実践する必要があります。そのための有効なセキュリティソフトの導入も重要なポイントです。また従業員による不正やヒューマンエラーの可能性も視野に入れ、個人認証管理の導入なども検討すべきでしょう。

海外の制御システムのセキュリティインシデント事例

実際に、過去に制御システムのオープン化が招いたとされる被害も報告されています。

2000年には早くもオーストラリアの下水処理施設の監視制御システムがハッキングされるというインシデントが発生しています。下水処理用のポンプが作動と停止を繰り返し、誤った警報が鳴り響きました。その後もポンプの不調は続き、河川やホテルの敷地に下水が流れ込むという事態になりました。

2014年にはドイツの製鋼所のネットワークがサイバー攻撃を受けました。メールから始まる標的型攻撃によって情報システムが乗っ取られ、さらに制御システムの一部も外部から不正アクセスを受けました。その結果、溶鉱炉が正常に停止できなくなり、被害が生じたとドイツ政府の情報セキュリティ庁が報告しています。

国内における制御システムのセキュリティインシデント事例

日本も例外ではありません。2017年には日本の自動車工場のネットワークにWannaCryというマルウェアが侵入して操業が一時停止、自動車1,000台が生産できなくなる事態となりました。

WannaCryはランサムウェアとワームで構成されています。ランサムウェアは通常、パソコン内のファイルを暗号化して使用不能にし、身代金を要求するというマルウェアです。また、ワームは単独で自動的に感染を広げていく機能を持ち、パソコンに侵入するとランサムウェアが自動実行されます。WannaCryは2017年4月から世界で大流行し、約150か国30万件以上の被害があったとされているほか、日本でも6,000台以上のパソコンが感染しています。

ただ、2017年の自動車メーカーでの感染時は、ランサムウェアによるメッセージ表示はなかったとされています。操業停止は感染が発覚した時点で感染が拡大するのを恐れて、同社が自ら判断したものでした。その翌日にはマルウェアの隔離を完了して稼働を再開しています。

ところが、2020年には同じ自動車メーカーの別の海外の工場（全世界30拠点のおよそ3割）がEkans（もしくはSnake）というランサムウェアに感染しました。Ekansはファイルを暗号化するだけではなく、産業用制御システムを停止させる機能も持っています。そのため同社の国内外の工場で生産や出荷が一時ストップ、本社などで働く従業員のパソコンが使えなくなるなどの影響も出ました。このとき使用されたランサムウェアは、同社の社内ネットワーク内のパソコンだけで動く特殊なものだったことがわかっています。

制御システムへのサイバー攻撃は、今後さらに多様化と巧妙化が進んでいくと考えられます。甚大な被害から施設や工場を守るため、万全かつ強固なセキュリティ対策を構築することが求められています。

事業に大きな損害を与えかねない制御システムに対する攻撃を防ぐためには、情報システムに対するものとは異なる考え方のセキュリティ対策が必要となります。とくに工場をターゲットとしたランサムウェアなどによる攻撃は年々高度化・巧妙化しており、制御システムに関連した何らかのぜい弱性が残されているだけで大きなリスクを抱えることになってしまいます。また、サプライチェーン全体でセキュリティを強化していく必要があります。

コンサルティングによる課題抽出と対策立案、導入、運用・モニタリングまでを提供する「工場セキュリティソリューション」に興味のある方は、ぜひこちらのページをご覧ください。
工場セキュリティソリューションのご案内

※本記事は、2020年8月12日に公開しました「どのようなリスクを考慮すべきか？制御システムのセキュリティ対策」の内容を更新し、公開しています。