第2回 Windows Embeddedを使ったFAシステムをどう守る?
菅原 継顕
フォーティネットジャパン株式会社
シニアリージョナルマーケティングマネージャー
2008/9/16
FAシステムセキュリティのポイント
1万個のコンポーネント化によって、不要なコンポーネントを使用する必要がないので、動作が軽快かつ安定したものになるというメリットがあるのですが、セキュリティ面を考えると、ここは使用するうえで少し工夫が必要です。
Windowsは最も多く使用されているOSなので、脆弱性が発見されたときはそれを攻撃する脅威がすぐに生み出されます。オフィスでの利用と違い、FAシステムは簡単にパッチを適用することができません。
悩み1:セキュリティパッチの適用、OSのサポート期間の問題
●制御アプリケーションとOSの整合性の問題があり、容易に
セキュリティパッチの適用が行えない
FAシステムの制御アプリケーションはオリジナル開発した場合が多く、セキュリティパッチを適用した後も正しく動作するか、動作検証が必要です。それ相当の工数と期間が必要なため、月に何度もリリースされるセキュリティパッチのたびに検証を行うことはできません。最短でも数カ月に1回が現実的なところでしょう。
●FAシステムを簡単に入れ替えられないため、
サポートが終了したOSを使い続けている
Windows Embeddedは通常のデスクトップOSとは違い、製品販売終了後も10年間サポートが提供されます(デスクトップOSは5年)。ただし、10万円から20万円のデスクトップパソコンと違い、FAシステムは数千万円から億を超えるものもあり、OSのサポートが終了したからといってすぐに入れ替えるわけにはいきません。場合によってはサポートが切れても使い続けざるを得ない場合もあるのです。
FAシステムといえど、ネットワークに接続されたWindowsである以上、ネットワークからの攻撃を防ぐためパーソナルファイアウォール、パーソナルIPSやアンチウイルスなどのセキュリティソフトを導入したいところですが、次に挙げるように、なかなか簡単にいきません。
悩み2:FAシステムにセキュリティソフトをインストールできない
●FAシステムにはWindows Embeddedなど
特有のOSが利用されており、セキュリティソフトが未対応
Windows用のセキュリティソフトを開発する企業も、1万個のコンポーネントを自由に組み合わせて使用できるWindows Embeddedは組み合わせが無数にあり、サポートするのが困難です。もちろんEmbeddedもWindowsがベースですから、問題なく動く場合もあると思いますが、サポートは受けられずあくまで自己責任となります。
●FAシステムの制御アプリケーションへの干渉を懸念し、
セキュリティソフトをインストールしないでいる
セキュリティソフトは、ハードディスクやフラッシュメモリなどの記録装置のファイルの読み込みと書き込み、そしてネットワークの入出力をリアルタイムで検査するためOSに深く入り込んで動作します。従って各種アプリケーションとの干渉が発生する可能性が高いため、より入念な動作検証が必要になります。
●セキュリティソフトのパターンファイルやエンジン更新時の
トラブルを考えると、対策が実施できない
セキュリティソフトはアンチウイルスや攻撃パターンなどのシグネチャを受け取る必要があり、このシグネチャの不具合が原因でコンピュータの動作に異常が出ることもあります。このような不安定要素をFAシステムに持ち込みたくないと考えるのはとても自然な発想です。
このようなことを考えるとエンドユーザーが自己責任でFAシステムにセキュリティソフトをインストールするのは、現実的ではありません。トラブルが発生したときに、サポートが受けられず窮地に立たされてしまう可能性があるからです。
 |
図1 1個のウイルス侵入が生産ライン停止に直結 |
 |
2/3 |
 |
| Index | |
| Windows Embeddedを使ったFAシステムをどう守る? | |
| Page1 クリーンルームにはクリーンなコンピュータを FAシステムってどんなシステム? |
|
 |
Page2 FAシステムセキュリティのポイント 悩み1:セキュリティパッチの適用、OSのサポート期間の問題 悩み2:FAシステムにセキュリティソフトをインストールできない |
| Page3 工場でのウイルス被害はオフィスよりも大きい UTMで工場セキュリティを向上させる |
|
 |
意外とウマ合い! 統合セキュリティ機器活用法 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
