5分で分かる制御システムセキュリティ：ITエンジニアにも無縁ではないこれからの課題（5/6 ページ）

[山田秀和、宮地利雄（JPCERTコーディネーションセンター），＠IT]

4分 - 制御システムはこうやって守る

　こういった課題のある制御システムセキュリティへの取り組みとして、次の2点の検討から始めることをお勧めしたいと思います。

1．短期的な視点での対応――まずは現状把握から

　Stuxnetの発見以降、制御システムに関係する脆弱性が顕在化しつつあり、増加傾向にあります。また、ネットワークに接続された制御システムに関係する機器やサービスを検索する技術も整備されています。そのため、まずは制御システムがどのような攻撃を受け得る状況にあるのかを把握することが大切です。

　例えば、インターネットにつながっていないか。不要な機器は接続されていないか。第三者が侵入できる部分はないかなど、現状を把握することが第一歩となります。

2．長期的な視点での対応――方針の決定、把握した現状との比較、対策

　制御システムの運用において、何が一番大切なのか／重要なのかを、今一度考えてみることが必要です。

　例えば、「誤操作によって爆発の危険性がある」など、人命に関わるようなシステムであれば、当然安全性が最優先されるでしょう。また、「セキュリティに問題のある古いシステムだが、継続運用が必須」という状況であれば、防御と監視の強化を行った上での安全な運用が求められます。

　「何が一番大切なのか」が明確になれば、短期的に解決が難しいセキュリティ問題に対してどう取り組むのかという方針が立てられます。その方針と把握した現状、制御システムのライフサイクルから考えた必要な取り組みを洗い出し、システムや人といった観点も含め制御システムのセキュリティを検討します。制御システムのセキュリティにとっては、運用に関わる人の意識も重要なポイントとなります。

　具体的な取り組み策の一例として、JPCERTコーディネーションセンター（JPCERT/CC）が提供する制御システム用のセキュリティ自己評価ツール「J-CLICS」の利用などが挙げられます。

　J-CLICSで自己評価ができたら、次の段階として、制御システム用の情報セキュリティ管理システム「CSMS」の認証取得に挑戦してもよいでしょうし、より制御システムの本質に沿った枠組みとして「RIPE」と呼ばれるセキュリティ管理フレームワークを試みることも考えられます。