制御システムへの脅威と脆弱性
過去に制御システムに関して報告されたセキュリティ被害について、原因は主に下記の4ケースに分類されます。
・USBメモリ
データの移動などでパソコンやサーバに接続したUSBメモリからウイルスが感染する事例が頻繁に発生しています。運用上、USBポートはパソコン、サーバから運用上なくすことは不可能なことが多いため、接続するUSBメモリを事前にウイルススキャンしておくか、接続するUSBメモリを限定し、常に厳重に管理しておき、不特定多数のUSBメモリが接続されることを防ぐ体制が必要です。
・リモートメンテナンス回線
制御システムをリモートで操作し管理するために、メンテナンス回線を使用している場合があります。そのリモート回線に接続されているパソコン経由で不正アクセスされたり、ウイルスが混入するケースが発生しています。リモートメンテナンス回線に接続するパソコンにしっかりセキュリティ対策しておく必要があります。
・操作端末の入れ替え時
制御システムの操作端末には一般的なパソコンが利用されることが多いです。これらの操作端末の入れ替え時に、入れ替えたばかりのパソコンが作業員の不注意からウイルス感染し、制御システムにも被害が発生したケースが報告されています。
・内部犯行
アメリカでは、契約警備員が病院内のパソコンにマルウェアを仕込み、病院の暖房、換気、空調(HVAC)システム等の情報をインターネット上にアップロードし、HVACシステムのアラームが停止状態になっていた事例があります。パソコンのログインIDやパスワードの共通化したり、メモ書きを貼り付けるなど、管理者以外でもシステムにログインできる可能性がある場合はセキュリティの運用体制を見直す必要があります。
以上は、セキュリティ事故としては、ごく初歩的なミスに分類されます。
制御システムのライフサイクルは長く、時の経過とともにセキュリティパッチが適用されてシステムの脆弱性が埋まってくる一方、これらの事例のように、初歩的なセキュリティ事故の被害にあうことも多いようです。
制御システムの重要性を考えると、このようなミスにより稼働が止まってしまうことは許さるべきことではありません。社内の運用体制の基本を見直してセキュリティ対策を万全なものにしておきましょう。