5分で分かる制御システムセキュリティ:ITエンジニアにも無縁ではないこれからの課題(6/6 ページ)
ITエンジニアの皆さんに向けて、制御システムセキュリティの現状、情報システムとの考え方の違い、対策の指針などについて解説します。
5分 - 日本における制御システムセキュリティへの取り組み
最後になりますが、日本における制御システムセキュリティ強化への取り組みを紹介します。
2010年のStuxnetの発見以降、2011年には、経済産業省にて制御システムセキュリティタスクフォースを設置して課題と方針が検討され、本格的に取り組みが動き出しました。2012年には、制御システムセキュリティセンター(CSSC)が設立されました。またJPCERT/CCは、2012年から制御システムに関する調整を中心に行う機能を立ち上げ、活動を行っています。各制御システム関連の工業会やユーザー団体も、制御システムセキュリティへの取り組みを強化すべく活動を進めている状況です。
一般に、セキュリティ対策は、技術と組織体制とルールの3つの側面でバランス良く進めることが重要であるとされています。
制御システムセキュリティの技術面については、CSSCが、制御システム用のセキュリティ技術の研究開発や、制御システム製品のサイバー攻撃耐性を試験評価して認証するための制度作りに取り組んでいます。特定の処理だけを許容し、それ以外の動作を禁じるホワイトリストの仕組みを制御システムの中に組み込んで、サイバー攻撃を撃退する技術の評価研究なども進められている模様です。
JPCERT/CCは、セキュリティインシデントへの効果的な対応のために、各組織がCSIRT(Computer Security Incident Response Team:シーサート)と呼ばれるインシデント対応に関する調整機能を持つ必要があることを訴えてきていますが、前述のように制御システムに関するセキュリティインシデントもカバーするよう機能を拡大しています。
ルールについても、各種のガイドラインや技術文書がいろいろな組織で作られ、公表済みのものが多数蓄積されてきています。こうした文書を参考に、各組織が独自の要件を加味してルールを策定していくことも重要です。
以上、制御システムのセキュリティについて、情報システムと対比しながら、現状と課題、対策の指針、日本における取り組みの概要を紹介しました。
情報システムも制御システムも、今後それぞれに新しいイノベーションを取り込んで進化し続けるでしょう。その過程で、相互の連携と類似性をより一層高めていくことは間違いありません。もちろん両者にとってセキュリティは不可欠です。
ほぼ共通した技術を採用していながら、大きな文化の違いがある情報システムと制御システム。ITエンジニアの皆さんに制御システムを知っていただき、制御システム関係者と相互の違いを理解しつつ知恵を出し合える関係を築いていただくことが、サイバー空間を安全に保つ近道の1つなのではと考えています。
山田秀和(やまだひでかず)
JPCERTコーディネーションセンター
制御システムセキュリティ対策グループ リーダー
2012年の制御システムセキュリティ対策グループ立ち上げ前から、産業制御システム関係者とともに普及啓発活動やツール展開、意識調査などの業務に従事。現在は、産業制御システムに携わる関係者間でのセキュリティ向上を目的とした効果的な連携活動の在り方について模索中。
宮地利雄(みやちとしお)
JPCERTコーディネーションセンター
理事/顧問
前職において創成期のインターネットの普及やセキュリティ対策関連の業務に携わる。2007年にJPCERTコーディネーションセンターに理事として着任。脆弱性の取扱制度の整備や制御システムセキュリティ関連の企画を担当している。工学博士。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「カイゼン」でセキュリティ向上? 標的型攻撃に狙われる制御システム
経済産業省とJPCERTコーディネーションセンター(JPCERT/CC)は2014年2月5日、「制御システムセキュリティカンファレンス 2014」を開催した。制御システムの脆弱性の傾向や認証制度の確立に向けた取り組み、そして海外での事例などが紹介された。 - JPCERT/CCが制御システムの診断ツールを無償公開