「情報セキュリティ推進室の活動“制御システムセキュリティ”について」

昨今、企業の情報セキュリティ管理は年々厳しくなっております。そのような情報セキュリティに関する活動を推進するために、2008年2月21日付けで「情報セキュリティ推進室」を発足しております。

現在推進室員は8名おり、私もその中のメンバーとして活動しております。推進室の活動内容や、今後の情報セキュリティの動向などについて本ソフテックだよりで、ご案内したいと思います。

昨今、企業の情報セキュリティ管理は年々厳しくなっており、情報漏えいなど問題があったときの影響は計り知れません。

最近も大手企業で3000万件以上の顧客情報が大量流出した事件がありました。「弊社にはそんなに大量の顧客情報が無いから大丈夫」などと対岸の火事として傍観していては済まされない時代になってきています。

扱う情報量の大小は違っても、情報セキュリティという観点から見れば、情報漏えいの原因や理由はそれほど大差無いように思います。いつ自社にそのようなリスクが降りかかってくるかわかりません。

そのような情報を取り扱う上でのリスク管理や、セキュリティ全般について推進室が率先して検討し、社内へのアナウンスや、セキュリティ対策などを推進するために推進室が発足しています。

情報セキュリティ推進室が立ち上がった時には、何から手を付けてよいか？という事から整理を始めた事を思い出します。

その中でも自分たちでルールを決めて運用することで防げるリスクから、取り組みを始めています。たとえば下記の様な事などです。

• ホームページに載せる情報に案件に由来する機密情報が含まれていないか
• 出張用ノートパソコンの暗号化推進
• 記憶媒体の暗号化推進
• 社外からの社内アクセスするための許可制度の検討
• 個人所有のストレージデバイス使用禁止
• 協力会社の方々の社内ネットワークへのアクセス制限

他にも色々と活動している内容はありますが、最近取り組んでいる内容で、「制御システムセキュリティ」について推進室として調査を進めております。その過程で調査したことや、感じたことを取り上げてみたいと思います。

最近の推進室活動として、「制御システムセキュリティ」やISO27001(組織が保有する情報・データに関連するリスクを適切に管理し、組織の情報セキュリティを管理するための仕組みで情報セキュリティマネジメントシステムの国際規格)の調査を進めています。

私がこの中でも興味があるのが「制御システムセキュリティ」に関する事です。昨今、重要な生活基盤サービスを提供するシステム(石油化学プラント、電気、ガス、水道など)を担う制御システムセキュリティへの関心が高まってきています

これまで良く見聞きしてきた、ホームページ改ざんや情報漏えいとは違い、「もし制御システムに重大な脆弱性があり、その脆弱性を悪用されると私たちの生活そのものに影響が出る」可能性があります。

公的な機関の経済産業省でも「制御システムセキュリティ検討タスクフォース」として平成23年10月から検討を始めている事から、一時的な流行りなどではなく今後にむけて重要な取り組みになると考えています。

弊社で専門としている制御系ソフトウェアは、一般的なパソコンなどではなく専用のハードウェア上で動作するプログラムが多くあります。その特殊性ゆえ、閉じられた環境での運用される事が多くセキュリティ的に安全と思われていた時代もありました。

最近は専用ハードウェアも進化して機器ごとに通信できるようになり、その機器固有の専用ネットワークや、一般的なEthernetを使ったネットワークなどで通信するように変わってきているにも関わらず、セキュリティ対策は遅れていると感じます。

このように制御システムの通信が一般的になり、制御システムで使用するネットワークもEthernetをベースとした技術が増えてきていますので、外部からの侵入や攻撃を意識した制御システムへのセキュリティ対応が今後求められると考えています。

各機器が通信で様々な情報をやりとりし制御することが一般的なった事や、Ethernetをベースとした技術が増えてきた事で攻撃を受けやすくなってきている為だと思いますが、ついに制御システムをターゲットにしたコンピュータウィルスが出てきてきました。そのなかでも2010年7月確認されている「Stuxnet(スタックスネット)」は制御システムの脆弱性を悪用し、原子力発電所をターゲットとして攻撃をした事で世界的に知れ渡っています。

下図は工場などのシステムに不正侵入およびウィルスが入り込む可能性を図にしたものです（実際は下図のような侵入ルート以外にも様々な手順で入り込む可能性がありますがわかり易いようにシンプルに記述しています）

インターネットなどに常時接続してあるオープンなシステムなどはファイアーウォールやVPNなど相応のセキュリティを講じていますが、それでも世間一般に知られていないセキュリティホールなどを悪用し侵入される可能性も考えられます。

また内部の人間がUSBメモリなどで工場内のシステムに外部から持ち込んだプログラムをインストールする可能性も考えられます(ちなみにStuxnetは外部からUSBメモリなどで原子力発電所のシステムに持ち込まれたといわれています)。

そのような侵入を許した時に、制御機器（PLC）などに影響を及ぼすような攻撃をされると、工場自体が止まってしまう可能性があります。

図1.システムへの不正侵入、ウィルス侵入ルート

2010年7月に確認された「Stuxnet(スタックスネット)」というコンピュータウィルスは「原子力発電所の制御システムを狙った」と言われています。

幸いにして実際にStuxnetによって不正操作されるような事はありませんでしたが、このような原子力発電所の制御システムを狙うような新たなウィルスが出てきた事に脅威を感じています。

実際にStuxnetの攻撃は、きわめて限られた条件をクリアしなければ攻撃が成功しません（特定メーカーのPLCかつ、Windowsのパソコンを踏み台にして遠隔監視制御システム(SCADA)経由でPLCにアクセスする必要がある）が、もしそれをクリアするようなコンピュータウィルスが出てきた場合を考えると恐ろしい事になります。

このStuxnetが標的にした制御システムはPLC(Programmable Logic Controller)となっており、工場や重要な生活基盤サービスを提供する制御システムでも使われております。そのため、もし攻撃が成功してしまうと、私たちの生活そのものに大きな影響が出る可能性があります。

このような制御システムをターゲットとしたコンピュータウィルスが出てきたという事は、「専用のハードウェアを使った制御システムを構築する場合でも、セキュリティを意識した対応が必要になってくる」という事を示唆しています。

Stuxnetの件を通して制御システムセキュリティの重要さを知った事は良かったと考えています。また制御システムセキュリティ対応に向けた取り組みが進められている事も理解しました。

まだこれらの取り組みは一般的になっていない様に思いますが、近い将来には一般に知れ渡り重要な項目として認識されるようになると考えます。

推進室員として今後の動向を見極めながら、セキュリティを意識した行動および、セキュリティに積極的に取り組んでいきたいと考えます。