産業用制御システム(ICS)セキュリティ

IoT化が進むICS環境

ドイツ政府が提唱した「インダストリー4.0」を機に、先進的なICT技術を取り込んだスマートファクトリーの概念が一気に浸透しました。重要なインフラを管理し、制御する産業用制御システム(ICS)が生産現場に導入され、IoTデバイスが集める情報を集積させたビッグデータをリアルタイムに分析し、フィードバックすることで業務改善を繰り返す運用モデルが確立されてきました。

日本では、内閣府が「Society5.0」のコンセプトを提唱したことからも分かるように、サイバー・フィジカル・システムの構築が進んでいます。 クラウドコンピューティングを活用したM2M(Machine to Machine)通信により、あらゆるモノがインターネットに接続する環境が当たり前のものになりつつあります。

増大するICS環境のセキュリティリスク

しかし、ICSで製造プロセスが高度化する一方で、セキュリティインシデントがグローバルで急増しているという負の側面にも目を向ける必要があります。これまで、生産インフラの多くはインターネットとは物理的に切り離されていたため、外部からネットワーク経由で攻撃を受けることはあまりありませんでした。しかしながら、昨今のオープン化に伴い、OA(Office Automation)環境の相互接続点(境界点)に発生するセキュリティホールからの脅威の侵入、またICS環境内の汎用OSやプロトコル間における内部感染拡大リスクが著しく高まっています。

ICSが制御する設備や製品は、故障すると非常に危険なものが多いなどの理由により、何よりも可用性が重視されます。悪意のある攻撃者は、そうした機器をターゲットにする傾向があります。パラメーターの改ざんによる機器の不正な操作、ランサムウェア感染によるシステムの利用制限やそれを解除するための身代金の要求被害、特定のICS製品の脆弱性を狙ったマルウェアの作り込みや攻撃など、手口は巧妙化しています。また、海外拠点やパートナー企業など、セキュリティ水準が比較的低くなりがちなポイントを突いて侵入し、目的の遂行を試みるといった方法も考えられます。

実際に、設備ベンダーをはじめとした外部事業者が持ち込んだ端末から、マルウェアがICS内部に侵入し、結果的に生産ラインの停止に追い込まれたというインシデントが起きています。重要なのは、工場設備という特性上、誤動作を起こせば人命にかかわるような危険につながる可能性があることです。ひとたび攻撃者に侵入を許せば、生産ラインの停止などによる事業への悪影響だけでは済まないような事態も考えられるのです。

PwCのICSセキュリティフレームワーク

このように、ICS環境は重大なリスクと隣り合わせであるという性質から、安定的に稼働し続けることを何よりも重視します。そのため通常の情報システム環境とは、運用管理方法が自ずと異なってくるのです。利用目的などの前提が異なる以上、従来の情報セキュリティ対策やリスクマネジメントの手法を、ICSに流用することには限界があります。ICS環境独自のアプローチが必要になってくるのです。

現状、多くの企業において、情報システム環境のセキュリティ対策は長年の取り組みによって成熟しています。一方で、近年ようやくインターネットにつながり始めた段階であるICS環境は、セキュリティ対策がまだまだ未成熟であると言わざるを得ません。

ICSセキュリティ対応における企業の課題の一例を紹介します。

  • セキュリティガバナンスの未整備
  • セキュリティポリシールールの未整備
  • 技術的/物理的対策の不足(ネットワーク分離、侵入対策、ハードウェア)
  • 不明瞭な資産管理状況(コントロールシステム、端末)
  • セキュリティモニタリングの不備
  • セキュリティインシデント対応体制の不備

PwCは、ICSセキュリティ対策におけるフレームワークを活用し、企業の課題の解決に寄与します。リスクを低減させるために、自社内の対策だけでなく、複数のステークホルダーで構成するサプライチェーン全体を俯瞰した上で、包括的かつ継続的なリスクマネジメントの実行を支援します。

PwCが提供するサービス

ICSセキュリティアセスメント

管理態勢の評価

  • ICS国際標準フレームワークに基づく態勢評価
  • ICS環境種別に応じたリスク・脅威ベースの分析・評価
  • 業種別ベンチマーキング/GAP分析

技術的態勢の評価

  • ICSインフラ/独自テクノロジーに対する脅威・リスク評価
  • ペネトレーションテストなどの侵入テストによる実地評価
  • フィジカルセキュリティの技術的態勢評価

ICSセキュリティ管理態勢の構築

  • ICSセキュリティガバナンス管理体制の定義
  • 組織として求められるセキュリティ機能の定義

ICSセキュリティポリシー整備

  • ICS標準、組織・環境を前提としたセキュリティ管理要件の定義
  • サプライチェーンリスクを踏まえた管理のあり方・方針・規定類の整備

インシデント対応体制整備(ICS-SIRT)

  • 既存IT/品質管理組織と整合した有事の対応体制・プロセス・基準などの定義
  • 社内外ステークホルダーの連携体制整備

ICSハードウェア(産業用ロボット)・ハッキング

  • 産業用ロボット・IIoTなどのICSデバイスハッキング
  • 脅威・脆弱性分析による改善アプローチ

物理セキュリティ態勢構築

  • 保護対象エリアの物理的侵入リスク管理
  • 情報資産ベースの境界管理

セキュリティ教育・啓発

  • ICT技術者のセキュリティリテラシー向上
  • 自社開発システムのセキュリティ強化

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

林 和洋

パートナー, PwCコンサルティング合同会社

Email

村上 純一

ディレクター, PwCコンサルティング合同会社

Email

上村 益永

シニアマネージャー, PwCコンサルティング合同会社

Email

布目 亮

マネージャー, PwCコンサルティング合同会社

Email