ワイヤレス通信の普及で顕在化した無線環境のサイバーリスクに備える~@ITセキュリティセミナー特別講演

2018-03-12

Start adding items to your reading lists:
or
Save this item to:
This item has been saved to your reading list.

近年、重要インフラや制御システムに対するサイバー攻撃の危険性が伝えられています。重要インフラや制御システムは外部のネットワークから切り離されていることから、「サイバーリスクによる影響は少ない」と言われていたにも関わらず、危険性が高まっています。重要インフラや制御システムはワイヤレス通信用のアクセスポイントを備えている場合があり、そこを狙って攻撃される可能性があります。それでは、ワイヤレス通信を狙ったサイバー攻撃からシステムを守るためには、どうすればいいのでしょうか。2/7に開催された@ITセキュリティセミナーで、ワイヤレス通信に対するセキュリティ対策やアセスメント(影響要因の診断・評価・判定)の重要性について、PwCサイバーサービス合同会社 サイバーセキュリティ研究所所長の神薗雅紀が講演を行いました。

PwCサイバーサービス合同会社 サイバーセキュリティ研究所 所長 神薗 雅紀

重要インフラに迫るインシデント~固定観念によるセキュリティ対策不備

水道・電力・ガスなどのライフライン、航空・鉄道などの交通インフラ。工場の制御システムや重要インフラが利用しているシステムは、独自のハードウェアやソフトウェアの採用、外部ネットワークに接続されていないことから、高い安全性を有していると言われていました。

ところが最近、重要インフラをターゲットにしたサイバー攻撃が発生しています。 

  • イランの核施設で遠心分離機が停止 
  • ドイツの製鉄所で標的型攻撃により溶鉱炉が制御不能になり、設備が損傷
  • ウクライナの電力会社を狙った標的型攻撃で大規模停電が発生

このような重要インフラがサイバー攻撃被害に遭った理由に、「外部とつながっていないから安全」との固定観念によるセキュリティ対策の不備が考えられます。

ワイヤレス通信に潜む危険性

制御システムにワイヤレス機器を導入する事例が増えています。ワイヤレス通信は利便性を向上する一方で、リスクをもたらす場合があります。重要インフラをターゲットにしたサイバー攻撃者は、管理が不十分で脆弱なワイヤレス環境やメンテナンス用の遠隔管理システムなどを経由して侵入します。「気が付いていないだけで、ワイヤレスネットワーク経由でサイバー攻撃を受けているところは多い」と、神薗は指摘しています。

神薗はワイヤレス通信にひそむ6大リスクとして、「経路上の通信傍受」、「ネットワークへの侵入」、「DoS/ジャミングによる通信妨害」、「アクセスポイントの乗っ取り」、「偽のアクセスポイント」、「リプレイアタック」のサイバーリスクを挙げています。このようなリスクが顕在化することで、システムの停止や制御不能、情報漏えいなどが発生する恐れがあります。6大リスクについて、実際に発生しているワイヤレス通信のセキュリティインシデント事例を交えてリスクのポイントを紹介しました。

ワイヤレス通信アセスメントの重要性

ワイヤレス通信を狙ったサイバー攻撃からシステムを守るためには、サイバーセキュリティ専門家による、「ワイヤレス通信アセスメント」の実施が重要だと神薗は述べています。アセスメントを行うと、セキュリティの脆弱な個所の洗い出しができるためです。PwCが提供しているワイヤレス通信アセスメントサービスは、Wi-Fiならびに簡易無線(特定小電力無線)の利用環境を調査し、収集した情報を分析することで、現在のワイヤレス利用環境のリスクを洗い出します。リスクを洗い出すことで、ワイヤレス通信のサイバーセキュリティ対策として、短期的・中長期的に実施すべきこと、対策に対するコストや方針などを導き出すことができます。

神薗は、「これまで行ったアセスメントで、管理されていないネットワーク機器が工場の制御機器に組み込まれていた」と、想定外の機器が見つかった事例を紹介。「アセスメントの結果を踏まえた対策を立案し実行すべき」と、アセスメントの必要性を訴えました。

電波の届く範囲が見えないワイヤレス通信は、専門家によるアセスメントで安全対策を可視化

重要インフラや制御システムだけではなく、普通のオフィスでもワイヤレス通信が利用されています。オフィスのワイヤレス通信のセキュリティ対策が不十分だと、そこから攻撃者に侵入され、社内の重要なシステムやデータがサイバー攻撃を受ける可能性があります。利用しているワイヤレス通信のセキュリティ対策が万全なのか、アセスメントの実施を検討する必要があります。

神薗は「アセスメントすることで、ネットワークの弱い部分を見つけて対策を講じることができます。適切な対策を取ることで、サイバー攻撃に強いセキュリティを保ち、そこで初めてシステムや会社を守ることができるのです」と述べ、講演を締めくくりました。

アイティメディア主催「@ITセキュリティセミナー

主要メンバー

星澤 裕二

PwCコンサルティング合同会社 パートナー, 東京, PwC Japan

Email

名和 利男

PwCサイバーサービス合同会社 最高技術顧問, 東京

Email

神薗 雅紀

PwCサイバーサービス合同会社 サイバーセキュリティ研究所 所長, 東京

Email

関連情報