制御系セキュリティの考慮点

製造業における制御系システムにおいて、ネットワークのオープン化とシステムの標準化の流れから、セキュリティ・インシデント件数も昨年から増加傾向にあり、脅威に対するリスクが高まっている。本稿では製造業のセキュリティ対策として考慮しなければならない着目点および課題について述べる。

製造業におけるセキュリティ対策の必要性

製造業における制御系システムはこれまで事業者ごとに固有のものが多く、外部ネットワークと遮断された環境下にあることから、内部仕様を把握されない限り攻撃を受けることはほとんどなかった。インシデントの事例と一般的な対策案については、ITR Review 2012年8月号「制御系システムのセキュリティ対策」(#R-212085)で述べられているが、本稿では、標準化されたシステムを採用することの弊害として、攻撃対象になりつつある課題を踏まえ、一般的なITシステムとの違いについて論じる。欧米では、エネルギー業界を中心として、制御系システムの調達には、制御系の認証取得を条件とするケースが多くなり、SIベンダーや制御機器の提供者は、要求されたセキュリティ水準に準拠することが求められている。特に米国では、ISCI（ISA Security Compliance Institute）が、機能面と環境面において、セキュリティ水準の担保を堅牢性試験の結果により認証制度として確立している。さらに米国では電力会社の連合組織が定めたセキュリティ標準に準拠していない場合は、送電会社に対して高額の罰金を科される。一方、EUにおいてもENISA（European Network and Information Security Agency）が制御システムについての勧告を発行している。国内でもインフラ提供企業を中心に、制御系システムのセキュリティの重要性が求められつつあり、2011年度より経済産業省を中心にタスクフォースが結成された。