　制御システムのセキュリティインシデントは、社会的信用を失墜させるだけでなく、経営の根幹を揺るがす損害を与えかねないものだ。しかし、前編で紹介した通り、セキュリティ対策は十分とはいえない状況だ。本稿（後編）では、トレンドマイクロが制御システムにおけるセキュリティ対策の適切なアプローチとともに、具体的な対策ソリューションを紹介する。

制御システムのセキュリティ要件とは

　制御システムのセキュリティ対策は、情報システムのそれとは異なる視点で講じる必要がある。例えば、制御システムには24時間365日の安定稼働が要求される。そのため、頻繁に修正プログラムを適用し、再起動することはできないことがある。また、運用期間も情報系のPCライフサイクルは2～4年であるのに対し、制御システムは20年以上となることもある。その間にソフトウェアのサポート期限が切れてしまうことも少なくない。

制御システムと情報システムの違い（出典　IPA, 重要インフラの制御システムセキュリティとIT サービス継続に関する調査 2009年3月）

　トレンドマイクロで事業開発本部担当部長代行を務める瀬戸弘和氏は「制御システムには、それに特化したソリューションを導入することが重要です。例えば、PLC（Programmable Logic Controller）やDCS（Distributed Control System）を制御する端末に、従来のウイルス対策ソフトを利用すれば、端末のリソースを圧迫してしまい、制御システムの可用性に影響を及ぼしてしまうことになりかねません」と語る。

　瀬戸氏は制御システムのセキュリティ対策の要件として、以下の5つを挙げる。

アップデートや復旧作業においてシステムを停止させないこと
クローズドな環境でもセキュアな状況を保つこと
修正プログラムを定期的に適用できない環境でもセキュアな状況を保つこと
システムパフォーマンスへの影響を最小限に抑えること
導入／運用が容易であること

　つまり、制御システムは、稼働させた状態で、パフォーマンスや可用性への影響を最小限に抑えつつ、常にセキュアな状態を維持しなければならないのだ。そのためには制御システムに特有のセキュリティ要件を把握し、セキュリティ基準や導入・運用をつかさどる組織・人材の整備を行いながら、現在直面している脅威に見合う対策を導入していく必要があるという。

対策には「多層防御」の発想が重要

　瀬戸氏は、制御システムのセキュリティ対策に必要なのは、「多層防御」の発想であると説く。これは、ネットワーク上のセキュリティ対策の他、制御システムの重要度ごとにセキュリティ機能を持たせることで、脅威の伝搬を最小限に食い止め、ミッションクリティカル性の高いシステムを守るという発想だ。例えば「許可されたプログラム以外は利用できないようにする」「持ち込みファイルを事前にチェックする」（予防）、「万が一、不正プログラムが侵入したとしても、感染を最小限に抑えて駆除する」（検知・駆除）といった観点でのソリューション導入が考えられる。

　具体的にトレンドマイクロのソリューションで考えてみよう。ネットワークでは、ゲートウェイ部分にファイアウォールなどを設置した上で、脆弱性を狙った攻撃パケットを監視・解析する「Deep Discovery Inspector」を導入する。ネットワークトラフィックを可視化・解析することで、自社にどのぐらいの脅威が向けられているのかも一目瞭然となる。

制御システムのセキュリティ対策例。「ネットワークのゾーニングを細分化する」「許可されたプログラム以外はロックダウンする」「万が一、外部メディアからウイルス感染してもすぐに検索／駆除できる」といった体制を包括的に構築することが重要だ。（クリックで拡大）

　そして制御システム各端末には、「アプリケーション制御（ホワイトリスト）」と脆弱性対策を組み合わせた「ロックダウン型」セキュリティ対策ソフトを導入する。瀬戸氏は「制御システム端末は、特定のプログラムのみを稼働させることがほとんどです。安定稼働を最優先にする制御システムセキュリティにはブラックリスト型のセキュリティ対策に比べ、システムリソースを圧迫しないロックダウン型のセキュリティ対策が向いています」とロックダウン型の必要性を強調する。

　それを具現化した製品が、「Trend Micro Safe Lock」である。これは、ロックダウンする（システムの機能制限、リソース制御やアクセス制御などにより、特定の用途にのみシステムを使用できるようにする）ことで、不正プログラムの侵入や実行を防止するものだ。また、外部記憶媒体（USBメモリなど）やネットワークなどを介して行われる脆弱性を利用した攻撃、実行中のプロセスに対する攻撃を防止する脆弱性攻撃対策も可能だ。パターンファイルの更新が不要で、システムパフォーマンスへの影響は限定的であり、ミッションクリティカル性の高い環境や、長期連続稼働が求められる環境（レガシーOSの継続利用）に最適なソリューションといえるだろう。

　複数のアプリケーションがサーバ上で稼働している場合には、サーバ対策に必要な機能が網羅されている「Trend Micro Deep Security」が有効だ。

　また、不正プログラムの駆除は「Trend Micro Portable Security 2」（以下、TMPS2）が担う。USBメモリ型のツールとして提供される同製品は、端末にソフトウェアをインストールすることなく、不正プログラムの検索・駆除を行う。新たにソフトウェアをインストールできない環境やネットワークに接続できない環境に有用だ。

Trend Micro Portable Security 2

　新製品のTMPS2では、USBメモリ型の検索ツールを改良し、外からスキャン結果が容易に判断できるよう、赤、黄、青のLEDを装備した。管理プログラムを強化し、社内ネットワーク経由でリモートにある検索対象機器のスキャン結果を集約したり、設定の一元管理を行う集中管理機能を充実させた。Windows XPのサポートも2017年1月末まで継続するので、制御システムにありがちなレガシィOSにも対応している。

　「インターネットに接続されていない環境では、ウイルス侵入はないと考えるエンドユーザーもいるが、それは大きな間違いです。USBメモリをはじめ、DVD、外付けハードディスクドライブ（HDD）など、外部環境に接するデバイスは多々あります。例えばデータの交換などでこれらデバイスを利用してウイルスに感染することも実際に起きています。ウイルス感染を防ぐTrend Micro USB Securityが組み込まれているUSBメモリ、HDDもこうした環境にはぜひ取り入れてほしいですね」（瀬戸氏）。

使いやすさとサポートの充実が製品選びのカギ

　制御システムのセキュリティソリューションでもう1つ重要なのは「現場で働く人が利用しやすいか否か」である。どんなに優れた機能でも、正しく運用されなければ無用の長物だ。瀬戸氏は「現場では、手順書通りに容易に操作できるインタフェースが求められます。利用者にコマンド入力を要求するような操作は、間違えやすく誤操作の危険もあり、受け入れてもらえないでしょう」と語る。

　インタフェースの見やすさは、エンドユーザーのマインドをどれだけ理解しているかの“バロメータ”である。その点トレンドマイクロの製品は、コンシューマ向け製品で培った工夫が集積されており、その分かりやすさには定評がある。予さ防から検知、駆除までを使いやすいインタフェースで操作できることも大きなポイントだ。

　現場にセキュリティエキスパートがいない企業とって、導入しやすく使いやすい対策製品は、心強い“セキュリティパートナー”になるはずだ。

工場設備が乗っ取り!?――セキュリティベンダーだから見える“今そこにある危機”
バルブが勝手に開き、薬品が過反応を起こし、工程が制御できなくなる……。制御システムが今、かつてないほどの危機にさらされている。制御システムセキュリティの現状をトレンドマイクロが紹介する。
工場設備を守るには「ホワイトリスト」と「多層防御」で――トレンドマイクロ
トレンドマイクロはSCF2013で、セキュリティベンダーとして、制御システムに対する脅威動向を訴え、同社の「Trend Micro Safe Lock」などのソリューションを紹介した。
ググるだけで水圧バルブを直接操作可能!? ――制御系システムの「危うい現実」
いま、製造業の世界で“セキュリティ”が注目されている。産業制御システムへのサイバー攻撃がニュースとなる中、制御系システムにおけるセキュリティの現状や「ネットの脅威」への対策などを、トレンドマイクロがまとめた調査レポートを基に紹介する。