このページの本文へ

前へ 1 2 次へ

研究開発や人材育成を行う「制御システムセキュリティセンター」訪問レポート(前編)

重要インフラのセキュリティ対策、その最前線を見てきた

2014年09月30日 06時00分更新

文● 高橋睦美

  • この記事をはてなブックマークに追加
  • 本文印刷

ユーザー企業と制御システム/セキュリティベンダーの協力で運用

 電力や水道、ガス、交通といった重要インフラや産業プラントが機能停止に陥れば、社会活動や経済活動に大きな影響と被害をもたらすのは必至だ。これまで、こうした機能停止の原因は人的ミスや天災によることが多かったが、現在では制御システムのウイルス感染やサイバー攻撃も看過できない要因となっている。

 この問題にクローズアップし、制御システムのセキュリティ強化や検証を進めるための施設が「技術研究組合 制御システムセキュリティセンター」(CSSC)だ。一般的な情報セキュリティ対策とは何が違うのか、またCSSCではどのような研究が行われているのか、今回はCSSCの内部を取材してきた。前後編に分けてレポートする。

“秘密基地”を思わせるCSSCの入口。その内部をレポート

 CSSCは、重要インフラを支える制御システムのセキュリティ確保に向けた研究開発や国際標準化活動、認証、人材育成や普及啓発などを目的とした組織だ。東日本大震災からの復興支援も目的の1つに含まれており、本部は宮城県多賀城市の「みやぎ復興パーク」内に置かれている。

 2012年3月の設立時には、産業技術総合研究所(産総研)のほか、アズビル、東芝、日立製作所、三菱重工業、三菱総合研究所、森ビル、横川電機という8社/組織による技術研究組合だったが、現在では30社/組織(組合員と賛助会員)が参加する規模となっている。「ユーザー企業と制御システムベンダー、セキュリティベンダー、それに国が参加し、重要インフラをサイバー攻撃から守るための技術開発などに取り組んでいる」と、CSSC事務局長の村瀬一郎氏は説明する。

CSSCは、重要インフラの制御システムにおけるセキュリティ確保を目的として、研究開発から普及啓発、人材育成、国際連携までを行う組織だ(図はCSSC資料より引用)

「制御システムはサイバー攻撃とは無縁」という認識の甘さ

 ウイルスや不正アクセスとくれば、もっぱら企業システムやデータセンターといった「情報システム」の話ととらえられがちだ。なぜCSSCが、制御システムに特化したセキュリティ対策に取り組まなければならないのだろうか。

 電力や上下水道などのインフラを支えるシステムや、工場/プラント制御システム、ビル制御システム、交通管制システムといった「制御システム」は、かつては専用ハードウェアと専用OSの上で動作するものだった。しかもインターネットはおろか、オフィス内の情報ネットワークとも分離された環境として運用されることが多かった。そのため、業界内でも長らく「制御システムはサイバー攻撃とは無縁」という認識が強かったという。

 しかし近年では、コストや開発の容易さといった要因から、情報システムで用いられてきたWindowsやLinuxといった汎用OS、イーサネットやTCP/IPといった汎用ネットワーク技術が制御システムの世界でも採用され、広がりつつある。さらに生産性向上の要請から、閉じていた制御システムのネットワークと情報ネットワークが接続されるケースも増えてきた。この結果、インターネットの世界における脅威が、制御システムにも影響を及ぼす事例が発生している。

 たとえば2005年には、米ダイムラー・クライスラーの自動車工場の制御システムが「Zotobワーム」に感染し、生産ラインが50分間停止する事態が発生した。また2011年、ブラジルの発電所の制御システムが「DOWNADワーム」に感染してオペレーションが停止、復旧までに数カ月間を要するなど、大きな被害が生じた。制御システムに対する外部からの攻撃、内部関係者による不正侵入は、近年数多く報告されているという。

CSSC事務局長の村瀬一郎氏

 そして、実は「同様の問題は日本国内でも発生している」と村瀬氏は述べる。「(制御システムが)USBメモリ経由でウイルスに感染する事例が起きている。また、ベンダーによるリモートメンテナンスの際、回線の先の端末からマルウェアが混入したり、ベンダーが入れ替えた端末がウイルス感染していたというケースも耳にしたことがある」(村瀬氏)。

 制御システムを取り巻くこうしたセキュリティリスクの高まりを受け、CSSCではセキュリティ向上のための研究開発や検証、国際標準化活動などに取り組んでいる。その中核的な役割を担うのが、今回訪問したテストベッド施設の「CSS-Base6」だ(この施設については後編記事で詳しく紹介する)。

(→次ページ、制御システムの特質を踏まえ「ホワイトリスト型対策」に着目)

前へ 1 2 次へ

ピックアップ