十数年前までの制御システムは、ベンダー独自のOSやプロトコルなどを使って構成され、他のネットワークとの相互接続も皆無に近かったので、サイバーリスクは事実上無視できるほど低いと考えられていました。そのため、サイバー攻撃に対する配慮なしにシステムやコンポーネントが開発されていました。
その後のプロセッサーなどの高速化とソフトウェアの高度化の進展に伴い、汎用技術を用いた制御システムの実現が可能となり、さらには、高度な機能を安価に実現するために汎用技術の採用が急速に進みました。また、無在庫経営に象徴される生産性の追求の中で、制御システムを取引システムや経営システムと接続して、リアルタイムでデータを共有するニーズも高まってきたのです。
その結果、制御システムは、構成技術においてもネットワーク接続においても、かつての閉ざされた環境から“開かれた”環境へと足を踏み入れることになりました。この変化に伴ってサイバー攻撃を受ける可能性が大きくなり、事故も散発的に起きるようになりましたが、制御システムの利用者もベンダーも現実を直視して対策を打つことなく、制御システムのサイバーリスクは高まる一方だったのです。
こうした現実に目を向けさせたきっかけが、2010年に発見されたマルウェア「Stuxnet」でした。これは、イランの特定の制御システムを乗っ取り、異常な動作を引き起こすことを狙って作られたマルウェアでした。その後の報道では、米国とイスラエルが共同開発してイランの核施設に送り込み、多数の遠心分離機の破壊に成功したともいわれています(関連記事)。
この事例は、制御システムに対するサイバー攻撃が現実のものであることを見せつけ、制御システムのセキュリティ問題を見過ごしてきた制御システム関係者に大きな衝撃を与え、制御システムのセキュリティ強化に向けた転換点となりました。
Copyright © ITmedia, Inc. All Rights Reserved.