セキュリティー新時代(2)制御システムをリスクから守る

2018-09-26

日本でも工場に影響

「工場で運転が停止して生産が止まったようだ」「機械が故障したの?」「サイバー攻撃があったらしい」――。このような事態は対岸の火事や人ごとではなくなりつつある。日本でもすでに影響が出ているからだ。

工場へのサイバー攻撃で、世界的な転機になったのが2010年の事例だ。イランの核燃料施設のウラン濃縮用遠心分離機への攻撃が発覚。それまでサイバー攻撃の影響は情報漏洩などが大半だったが、この事例が結果的に、サイバー攻撃が設備へ物理的な被害をもたらしえる証明となってしまった。

15~16年にはウクライナで電力供給会社への攻撃があり停電になる事例が発生した。17年には「ランサムウエア」と呼ぶIT(情報技術)システムを使用不能にして身代金を要求する悪意あるソフトウエアに工場のネットワークが感染し、生産・製造が停止してしまう事態も起きている。このランサムウエアは日本の一部工場へも影響が及んだ。

これまでサイバー攻撃は主に、情報システムが対象であった。このため、工場などの機器は一般的なシステムとは違う特殊な構成を持つこともあり、これを対象としてサイバー攻撃は難しいと考えられてきた。

しかし、IoT(モノのインターネット)により工場内外のあらゆる設備・器具のデータがネットワークにつながる環境では、工場の設備・施設もまたサイバー攻撃の対象となり、そのリスクはさらに高まりつつあるといえる。

これまで生産現場では「品質」や「環境」「健康」などに留意しながら業務を続け、新たな問題に直面するたびに解決策を講じてきた。そのような中でサイバー攻撃は先の事例が示すように、不具合や事故・品質の低下などを招く新たなリスクとなっている。

サイバー攻撃により引き起こされる影響の一例

生産現場ではこれまで「サイバーセキュリティー」を強く意識する必要がなかった。しかし、IoT化が世界中で加速する現在、生産現場はできうる対策を検討し、行動に移す時期を迎えている。

サイバーセキュリティーを考える上で大事なのは「機密性」「完全性」「可用性」の3つの要素をバランスよく維持し、守ることだ。中でも生産現場では、業種や業態にもよるが、システムが継続して稼働できる状況にある「可用性」が重要になる。その具体策を紹介したい。

従業員の意識が最重要

日本でも工場へ影響が出始めたサイバー攻撃。企業はどうすればよいのか。生産の現場で、どのように攻撃にたち向かうべきか考えてみたい。

まず大切なのは、現状把握である。意外かもしれないが、工場などではシステムの現状を知らないまま生産などの業務に携わるケースが多々あるからだ。工場などにどのような資産があり、システムやネットワークがどう構成されているのか、実際の運用はどのようにしているのかなどをきちんと確認し、識別する。

その現状を踏まえて対策を検討するが、操業を続ける「可用性」(英語でavailability)を重視する場合は、「ヒト」「業務プロセス」「技術」の観点から進めることをおすすめしたい。

生産現場での対策は3つの観点から

まずは「ヒト」である。ヒトは、生産現場を動かす中心的な存在である。工場などの職員・スタッフが、サイバーセキュリティーの分野に精通していない場合、まずはサイバー攻撃などのリスクを自分のこととして認識してもらう必要がある。職員へのサイバー教育などを通じて、セキュリティーの重要性が認識されなければ、いつまで経ってもこの問題は解決しないまま残り続ける恐れがある。

次に「業務プロセス」である。高度なサイバー攻撃において犯罪者は業務プロセスを理解した上で、そのプロセスの中で生産現場の人に違和感を与えない手法で目的を達成しようとする。現在の運用の中で対策を施せる部分はどこなのか、サイバー攻撃による影響が大きい部分はどこなのか。現場の声も生かしながら、対策を検討し、規定や運用、対応マニュアルなどを見直すことが望ましい。

最後は「技術」である。「○○ソフトを入れておけば大丈夫」と優れた製品を導入して対策を講じても、使い方や方法を間違えば効果はない。また、工場などのシステム環境では、こうした製品の導入が操業に影響を与える恐れもあることから、しっかりとした検討が必要となる。工場向けのサイバーセキュリティー製品も登場しており、機能や効果を吟味した上で本当に効果のある対策の導入を検討したい。

サイバーセキュリティーの世界では、100%の対策は存在しない。企業のサイバーセキュリティーは誰が守るのか。それには経営層から従業員まで全員がサイバー攻撃による影響を認識し、取り組む必要がある。一人一人が自身の問題と捉え、社会・組織そして、自分自身の生活を守るためにも、それぞれの役割の中で取り組みを始めなければならない。

日本では2020年の東京五輪・パラリンピックなど多くの大型イベントや国際イベントを控えている。対策は待ったなしといえる。

山田 秀和

マネージャー, PwCサイバーサービス合同会社

Email

※本記事は、日本経済新聞社 日経産業新聞「戦略フォーサイト」コーナーに、「セキュリティー新時代」をテーマに2018年8月21日から9月12日に連載された記事の再掲載となります。

※本記事は、日本経済新聞社の許諾を得て掲載しています。無断複製・転載はお控えください。

※法人名、役職などは掲載当時のものです。


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}