特集:IoTがもたらす製造業の革新〜進化する製品、サービス、工場のかたち〜

そのPLCの情報はネットで丸見え、工場に襲い掛かるサイバー攻撃の脅威産業制御システムのセキュリティ(2/2 ページ)

» 2016年06月22日 10時00分 公開
[三島一孝MONOist]
前のページへ 1|2       

水処理場の操作インタフェースが丸見えに

 トレンドマイクロが行った産業制御システムに対する調査では、SHODAN上で見られる外部にさらされているPLC(Programmable Logic Controller)の情報は東京都で49、大阪府で11、神奈川県で2、埼玉県で1、愛知県で0という結果だった。

photo 外部にさらされている産業制御システム(ICS/SCADA)(クリックで拡大)出典:トレンドマイクロ

 これは他のWebサービスやメールサービスなどに比べて非常に少ない数値であるが、トレンドマイクロのスレットリサーチャーであるスティーブン・ヒルト(Stephen Hilt)氏は「十分だとはいえない」と警鐘を鳴らす。

photo トレンドマイクロのスレットリサーチャーであるスティーブン・ヒルト氏

 「他のサービスに比べるとSHODANにさらされている機器の数は少ないように見えるが、これでもまだ多すぎるといえる。こうした機器は十分なセキュリティが取られていないケースが多いため、見られている時点で攻撃者は容易にこれらを攻撃することが可能だ。攻撃を受ければ、システム的な問題だけでなく物理的にも甚大な被害が生まれる可能性がある」とヒルト氏は述べている。

 実際に、重要インフラともいえる施設の操作インタフェースがネットワーク上にさらされている状況が現実に起こっている。「日本では探すことができなかった」(ヒルト氏)としたが、実際にカナダの水処理場のシステムについては「ネットワーク上で見ることができた」(同氏)としている。

photo ネットワーク経由で漏えいしている制御システムの操作画面例(クリックで拡大)出典:トレンドマイクロ

 これらのようにIoTなどで「つながる工場」化が進めば進むほど、リスクも大きくなる。ヒルト氏は「日本の産業制御システムのセキュリティについては、他の国に比べてよくやっていると思うが、まだ十分だとはいえない。産業制御システムはそもそも外部にさらされるべきではない。産業制御システムそのものがインターネットセキュリティを考慮されていない場合が多いので、安全なプロトコル設計なども含めた議論が必要だ」と今後に向けたアドバイスを述べている。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.