「安全、グループ安全、制御システムセキュリティ、エネルギー管理、トータル危機管理」
2011/9 IAF 幹事 村上正志氏
(4/5ページ) 印刷(PDF)
4.セキュリティ
安全を考える上で、昨年から急激に重要な課題となっているのが、情報セキュリティと制御システムセキュリティである。<図4>
経済産業省の参考サイト:「サイバーセキュリティと経済研究会」の中間まとめ:
http://www.meti.go.jp/press/2011/08/20110805006/20110805006.html
セキュリティにおいては、2003年ごろからスウォームやマルウェアなど以前のDOS攻撃とは異なるサイバー攻撃が増えている。2009年ごろからは、サーバを乗っ取って、生産情報やレシピ情報や制御システムに関する情報を搾取する事件がアメリカ・テキサス州の発電所を皮切りに先進国で起きている。
2010年にはStuxnetが登場して、情報システムセキュリティの領域から制御システムセキュリティ領域にまで進んでいる。USB経由で侵入した経緯から、「情報ネットワークにつながっていない制御システムはサイバー攻撃を受けることは無い。」という2000年から続いていた業界常識が覆された。<図5>
セキュリティについては、IEC62443が主要な国際規格となって、現在内容の見直しがおこなわれている。
セキュリティ対策においては、二つ課題がある。
一つは国内の場合で、例えば、ある制御ベンダの制御製品を標的にしたStuxnetが広がってサイバー攻撃開始すると、社会インフラ(電力、ガス、石油、上下水道、交通管理システム)やライフライン(医薬品、食品)、経済基盤を支える産業(化学、半導体)などの設備が破壊され、火災や爆発事故が誘発される場合である。破壊された規模によっては、即日復旧は難しく、数ヶ月から半年を要すものもある。そうなると、死者も出て、社会的パニックを誘発し、大混乱となる。その結果、海外展開では、その制御ベンダ製品の信頼が落ちて競合企業に成長する機会を与えることになる。
もう一つは、海外でのプロジェクトの受注条件に、セキュリティ評価試験を受けて合格することを指摘するユーザが増えていることである。ユーザにしてみると、ある程度のセキュリティ耐久力を持つ制御製品やセキュリティ対策のアップデートを施せる制御製品を使用して製造現場を構築したいということになる。
ミサイルやロケット弾で攻撃された場合は、攻撃を仕掛けた場所の特定が可能であるが、Stuxnetのようなサイバー攻撃は、特定が難しい。しかも、例えば40箇所を攻撃するとしたら、ミサイルやロケット弾は40発必要だが、Stuxnetは一つで事足りる。
経済産業省の「サイバーセキュリティと経済研究会」報告書中間とりまとめの49ページにもあるように、欧米では政府が表裏で、国際標準認証やテストベッドを支え、国策として制御システムセキュリティ対策を行ない、支援している。日本には、まだ(2011年8月現在)、これが無い。