デロイト トーマツ サイバーセキュリティ先端研究所は2017年9月25日、13回目となる記者向け勉強会「産業用制御システムにおけるサイバーセキュリティ対策 ― 喫急課題と取り組みの現状 ― 」を開催した。冒頭、デロイト トーマツ サイバーセキュリティ先端研究所の丸山満彦所長は、プラントの産業用制御システムにおけるサイバー攻撃のリスクが上昇し、セキュリティ対策の重要性が高まっている状況と説明した。

写真●デロイト トーマツ サイバーセキュリティ先端研究所 所長 丸山 満彦氏
写真●デロイト トーマツ サイバーセキュリティ先端研究所 所長 丸山 満彦氏
[画像のクリックで拡大表示]

サプライチェーンにおけるセキュリティ対策の課題

 丸山氏に続いて登壇したデロイト トーマツ サイバーセキュリティ先端研究所の小野寺正主任研究員は、「産業用制御システムのセキュリティ課題」と題したプレゼンテーションで、サイバーセキュリティ対策の必要性と課題を説明した。小野寺主任研究員は、「産業用制御システムはIoT(インターネット・オブ・シングズ)化、オープン化、サイバー攻撃の進化によりセキュリティリスクが増大、対策の必要性が高まっている」と指摘。産業用制御システムを取り巻く「外部環境と内部環境の双方に変化がある」と語った。

写真●デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 小野寺 正氏
写真●デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 小野寺 正氏
[画像のクリックで拡大表示]

 外部環境ではIoT化の進展があり、一方、内部環境では「オープン化が起きている」という。従来、工場設備などの機器には独自のオペレーションシステム(OS)が使われることが多かったが、最近では「PCと同様のOSやテクノロジーが採用されるようになった。独自OSでなくなったこと、IoTでインターネットに接続されるようになったことでサイバー攻撃のリスクが高まった」と見解を示した。

 さらに小野寺主任研究員は、産業用制御システムにおけるサイバーセキュリティ対策の今後の動向として、「サプライチェーンを対象としたサイバーセキュリティ対策への要請が高まっている」と説明。アメリカ国立標準技術研究所(NIST)による、サイバーセキュリティフレームワークのVer.1.1 ドラフトには「サプライチェーンリスクマネジメントがフレームコアに追加された」(同氏)という。

 小野寺主任研究員によると、米国国防総省では、すでに下請企業に対し「社内のネットワークのセキュリティ対策・監視」の強化を要請。その要件は、「アクセス制御」に関連する22項目、「システムと通信の保護」に関連する16項目など全体で109項目にも及び、下請企業の対応期限は2017年12月31日とされているという。こうした状況から、今後、民需の分野で米国企業と取引のある日本企業に対しても、サプライチェーンの一端を担う場合には、より強固なサイバーセキュリティ対策を要請される可能性もあると考えられるという。

 一方、小野寺主任研究員は「製造物のサイバーセキュリティ保証プログラムの動きにも注目すべき」という。すでにサイバーセキュリティの試験基準等を定めた規格「UL CAP 2900シリーズ」が策定されているが、今後の動きとして「2017年8月時点で、米国上院にIoTデバイスのサイバーセキュリティ向上に関連した法案が提出されている」と指定。今後、米国での政府調達基準に反映される可能性もあるという。

 プレゼンテーションの最後に同氏は、産業用制御システムにおけるサイバーセキュリティの課題として、「産業用制御システムと情報システムでは、守るべきものが前者は『モノ』、後者は『情報』であるなど、特性が異なる」と説明。続けて「通信プロトコルの種類、OSの種類などの違いもあり、そうした特性の違いが障壁となってセキュリティ推進を阻んでいる。企業においては誰が何をするべきかを整理してリソースを確保すること、あわせてサイバー攻撃による設備などへの影響を分析し、効率良く対策をすることが大切だ」と語った。

図●情報システムと産業用制御システムの特性の違い
図●情報システムと産業用制御システムの特性の違い
[画像のクリックで拡大表示]