|
セキュリティセンター 情報セキュリティ技術ラボラトリーの中野学氏
|
独立行政法人情報処理推進機構(IPA)は3月30日、「重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書」を発表した。同日よりWebサイト上で公開する。
重要インフラとは、電力・ガス・水道・鉄道のような、ほかに代替することが困難な社会インフラ、およびその制御システムのこと。ここで機能停止などが起これば、国民生活や社会経済に多大な影響を及ぼしかねない。今後、この重要インフラにおいて、セキュリティの課題が浮き彫りになる可能性があると、セキュリティセンター 情報セキュリティ技術ラボラトリーの中野学氏は指摘する。
「接続性のニーズなどから、重要システムでもTCP/IPなどの標準プロトコルやWindowsなどの汎用製品が採用されるようになってきた。今後、一般的な情報システムで発生している脆弱性を狙った攻撃やワームの脅威などセキュリティの課題が顕在化する恐れがある」(同氏)。米国では実際に制御システムがワームに感染し、列車の信号が動かなくなったなど、クリティカルなインシデント事例も発生しているという。
|
制御情報ネットワークでオープン化進む
|
|
情報システムと制御システムのセキュリティの違い
|
|
今後のセキュリティ対策の方向性
|
IPAが発表したのは、こうした状況を踏まえ、制御システムの情報セキュリティに関する国内外の動向を調査したもの。この課題にかかわる有識者による検討会「ICS(Industrial Control Systems)」を設置し、現状の調査を実施した。
国内調査として制御機器ベンダーや大学へのヒアリング、業界団体との意見交換を行った結果、セキュリティ意識の低さが露呈したという。「これまで独自のシステムを利用してきたため、汎用化が進み出している現在でも、本当にそんなセキュリティ脅威が起こりえるのか、という反応が多く見られた。事例紹介による意識改革をはじめ、この分野に特化した対策を進めていく必要がある」と同氏は語る。
しかし、社会の仕組みを制御する重要インフラともなると、対策は決して簡単なものではない。例えば、「一般的な情報システムであれば、機密性、完全性、可用性という順で重点が置かれるのに対し、制御システムでは可用性に最も重きが置かれる。このためシステム上の負荷となるウイルス監視やチェックプログラムの自動更新を行えないケースもあるのだ」(同氏)。
「また、制御システムは通常10~20年に及ぶ長期間使用されるため、セキュリティの仕組みが陳腐化していることもままある。制御システムのオープン化が先んじている米国では、第三者機関がセキュリティテストツールを公開したり、大規模な検証施設などを用意したりしているが、日本ではそれも進んでいない」(同氏)。
そこでIPAは、今後の対策の方向性をいくつか提唱した。まず「ツールや設備を整えていかなければならない。IPAでもセキュリティのロードマップなどを取りまとめて公開したり、ツールを開発したりしていく」と発言。
その上で「官民連携した取り組みが重要になるだろう。米国では国家安全保障の観点から政府が主導し、産学官連携のきっちりとした体制が敷かれている。すべてをまねては意味がないが、日本でも見習ってガイドラインを確立することは非常に有効。さらには国際協調により、グローバル化への対応を進めていくことが必要だ」(同氏)と述べた。
今回の報告書が制御システムセキュリティの検討に寄与することを期待するとともに、今後もIPAは、関係団体との協力を継続して、ベンダーやサービス事業者のセキュリティ意識向上に向けた活動を行っていく予定。
■ URL
独立行政法人情報処理推進機構
http://www.ipa.go.jp/
ニュースリリース
http://www.ipa.go.jp/security/fy20/reports/ics-sec/index.html
( 川島 弘之 )
2009/03/30 15:27
|