Windows XPサポート終了問題、移行しないとなぜ駄目なの?:産業制御システムのセキュリティ(6)
日本マイクロソフトは、2014年4月9日に迫ったWindows XPのサポート終了に対するセキュリティリスクについて、経済産業省やセキュリティベンダー各社と説明を行った。
日本マイクロソフトは2014年2月13日、残り55日と迫ったWindows XPのサポート終了に対し、移行を行わない場合に発生するセキュリティリスクについて啓発する説明会を開催した。会見には経済産業省やJPCERTコーディネーションセンター(以下、JPCERT/CC)などの他、セキュリティベンダー6社が参加し、Windows XPから新OSへの移行を呼び掛けた。
マイクロソフトのPC用OSであるWindows XPは、2014年4月9日(日本時間)の定期アップデートを最後に、セキュリティ更新プログラムの提供が終了する。セキュリティアップデートが行わなくなると、OSの仕組みそのもののセキュリティ上の弱点である脆弱性が解消されなくなる。そのため、サイバー攻撃者にとっては、一度脆弱性を発見すると、そこから何度でも効率的に侵入および操作が行えるようになる。また対策を行わない個人や企業だけでなく、その未対策PCを“踏み台”とし、そこにつながる人々にとってもセキュリティリスクを招く可能性も高いと見られている。
攻撃者にとってリスクが少なくメリットが大きい
日本マイクロソフト 業務執行役員 最高技術責任者の加治佐俊一氏日本マイクロソフト 業務執行役員 最高技術責任者の加治佐俊一氏は「セキュリティアップデートを行うなど、Windows XPは当時としてはセキュリティに配慮したOSだった。しかし、2001年当時と現在では、技術的な背景が全く異なる。スマートデバイスが一般化し、クラウドが普及。インターネットが世界中につながり、今では世界のインターネットユーザー数は27億人にも及ぶようになった。それは同時に世界からサイバー攻撃を受ける可能性があるということだ」と話し、最新のセキュリティ機能を持つWindows 8.1への移行を呼び掛けた。
また、セキュリティインシデントの情報提供などを行うJPCERT/CCの早期警戒グループ 情報分析ライン リーダーの満永拓邦氏は、サイバー攻撃が急増する要因として「ITの社会インフラ化」「インターネットの世界普及」「攻撃用インフラの整備」の3点を挙げる。「これらの要因により、攻撃者は特定できても捕まえられないようなケースが増えてきている。攻撃者にとってリスクが少なくメリットが大きい状態になっていることが大きい」と警鐘を鳴らす(関連記事:あなたの工場はこうやって襲われる! ――標的型攻撃の典型パターンとは?)。その対策としては「PCの“適切な管理”が一番の近道だ」と満永氏は強調する。
セキュリティベンダーの立場から日本のサイバーセキュリティの弱さを指摘したのがカスペルスキー代表取締役社長の川合林太郎氏だ。「日本は今まで“日本語”という一種のファイアウォールで、サイバー攻撃から守られてきたようなもの。しかし、言語による壁が障壁にならなくなった今、明らかに日本を標的にしたサイバー攻撃は急増している。サイバー攻撃は既にビジネスとなっており、より効率的に価値のある情報を得るのに、狙うべき地域となっている」と川合氏は指摘する。
OSの脆弱性をセキュリティ製品でカバーするのは無理
Windows XPからの移行について中小企業などでは二の足を踏み、「Windows XPを使い続ける方法」にも注目が集まっている。しかし「OSの脆弱性をセキュリティベンダーがカバーするという話も出ているが、リスクを抑えることはできても完全にカバーするのは無理だ。例えば、PCを家とすると、セキュリティベンダーが行っているのは泥棒対策のようなもの。OSの脆弱性とは“白アリで柱が弱る”や“強風で屋根に穴が空いて雨漏りする”というような状況のことで、泥棒対策のノウハウで白アリ駆除や雨漏り対策をしろというのは無理な話だ」と川合氏は強調する。
では、Windows XPから新OSへの移行が間に合わない場合はどうしたらいいのだろうか。日本マイクロソフトのチーフセキュリティアドバイザーである高橋正和氏は「移行計画を立てると共に、使用せざるを得ない部分で、オフライン利用や利用条件を狭めるなどのセキュリティ対策が必要だ」と語る。また、中小企業向けでは、PC購入やWindows 8.1への移行において、金銭面でのサポートを行う他、Windows XP移行対策セミナーなどを展開していく方針を示している。
製造業の新OSの移行は他業界に比べて遅い
実は、Windows XPからの移行が最も遅れそうなのが、製造業だ。
2013年11月に調査会社の矢野経済研究所が発表した「Windows XPに関する法人アンケート調査結果」によると、マイクロソフトによるサポート終了後もWindows XPを使い続け、2015年3月の時点でのWindows XPの構成比が最も高いと見られているのが「加工組み立て製造業」だという。その比率は28.1%で他の業種に比べて圧倒的に高い。またそれよりは低いものの「プロセス製造業」も17.1%のシェアは残るとされており、Windows XPを使い続けることによるセキュリティリスクの影響を色濃く受けそうな状況だ。
業種別クライアントPCのWindows XP構成比の現在と2015年3月末見込み(出典:矢野経済研究所)日本マイクロソフトでは、2014年4月までにWindows XPのシェアを「全OSインストールベースの1割、750万台以下にしたい」(加治佐氏)としており、製造業の移行はその中でも大きな比率を占めると見られている。
- OTセキュリティを巡るエネルギー業界の法改正とは、変わる事業者の事故対応
- 工場のスマート化で高まるサイバーリスク、経産省が対策の要点など公開
- 約半数がOTサイバー攻撃の被害に、低い自動車産業のOTセキュリティ成熟度
- 工場向けサイバーセキュリティのトータル支援サービスを3社で提供
- 三菱電機が米国のOTセキュリティ企業に協業/出資、ネットワーク可視化に強み
- 三菱電機がOTセキュリティ事業拡大に向け協業拡大、リモートアクセス技術に強み
- 三菱電機がOTセキュリティ専門企業と協業契約、両社の事業拡大を目指す
- 脅威検知サービスでの協業を強化し、OT環境の安全性を向上
- 攻撃者目線でセキュリティ対策を、MITRE ATT&CKフレームワークの活用方法
- TXOneがOTセキュリティの新コンセプト「CPSDR」を提唱、製造業の価値軸を重視
- 安全で生産工程も邪魔しない、OTセキュリティにとって重要なアクティブクエリ
- 7割が“人質”経験済み、ランサムウェアが猛威を振るう工場セキュリティの今
- 2022年OT/IoTセキュリティの世界で何が起こった?攻撃手法の変化に加えて新たなターゲットも
- 2023年注目の5つのサイバー脅威予測、サプライチェーンへの警戒は今後も必要
- 国際協力で制御システムを守れ――「サイバーセキュリティウィーク」レポート
- 万博に向けてサイバー攻撃対策強化の動きも、ハード含めたサブスクモデルを提供
- 急速な工場デジタル化が招く複雑なセキュリティ対策、OTの安全保障を考える
- 狙われるOTシステム、戦争を機にサイバー攻撃が活発化
- OTセキュリティが日本での優先課題、創造性と自由をデジタルにもたらす
- ITとOTの資産をサイバーセキュリティの脅威から保護、横河電機が新サービス
- 2年間で売上高4倍に、産業向けセイバーセキュリティ専門企業の国内向け戦略
- 心配事は実は同じ、IT/OT部門がセキュリティ対策で協調するのに必要なこと
- 三菱電機、警報信号発信機能を備えたセキュリティスイッチを発売
- 工場のサイバー攻撃対策は境界防御から「ゼロトラスト」へ
- Moxaは「ネットワーク防御」で現場を守る、次世代産業用ファイアウォールを発表
- セキュリティ監視システムとオペレーションを組み合わせたサービスを提供
- 東芝が制御システム向け脆弱性評価ツールを開発、オープンソース化で展開拡大へ
- 日立のサイバー防衛訓練サービスがリモートワークに対応「オンラインNxSeTa」へ
- スマート工場の約半分がサイバー攻撃で生産停止、その内4割以上が4日以上止まる
- 狙われるIoT/OTデバイス、約5割がIoTデバイスのサイバー攻撃を経験
- 産業用IoTゲートウェイが工場セキュリティの穴に、トレンドマイクロが警鐘
- 社内にマルウェアが常駐する製造業、セキュリティ対策は何から始めるべきか
- スマート工場を破る3つの攻撃箇所とは? 見過ごされたリスクと防御方法
- 工場を襲うサイバー攻撃の大半は“流れ弾”、トレンドマイクロが“おとり”調査
- IoT活用が進まない理由とは、ウフル八子氏の新会社とTeam Cross FAが連携対応
- 「工場の要塞化」を提案するトレンドマイクロ、持続性を確保する新製品を発表
- 工場セキュリティで成長目指すMoxa、トレンドマイクロとの協業製品は2020年初投入
- 組み込みからPCまで大事な情報を保護、7000社以上の実績を持つウイブシステムズ
- 狙われる産業制御システム、ハッキングコンテストで攻撃者の知見を学ぶ
- 日立の工場IoTセキュリティサービスはBCPから、「WannaCry」の経験が生きる
- 欧米注目の産業制御システムセキュリティの国際規格、ルネサスが認証取得を支援
- 2つの攻撃ベクトルから工場を守る、現場が使いやすいシンプルなセキュリティで
- イスラエル軍のセキュリティ技術を産業制御システムへ、CyberXが日本市場に注力
- インダストリー4.0時代のセキュリティ、専用ツールはまだまだ不足
- 製造業のセキュリティリスクは急増中? 調査から見える現状
- 産業用ロボットへのサイバー攻撃5つのパターンと対策
- ホンダの工場がランサムウェアの被害に、狙われたのは生産ライン制御のPC
- モノづくりの現場に即した制御システムセキュリティの在り方とは
- PLCが人質に取られて脅迫される時代へ、IoTがもたらす産業機器の危機
- 国内の産業用制御システムは本当に安全か「海外の事例は対岸の火事ではない」
危機を迎える制御システムのセキュリティ対策とは?:「制御システムセキュリティ」コーナーへ
工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。
関連記事
あなたの工場はこうやって襲われる! ――標的型攻撃の典型パターンとは?
JPCERT コーディネーションセンターと経済産業省は「制御システムセキュリティカンファレンス」を開催した。今回はその中から、最近のセキュリティ脅威の状況がどのように制御システムの危機につながるのか、仮想事例を基に分かりやすく紹介したJPCERTコーディネーションセンター 理事で分析センター長の真鍋敬士氏の講演内容をお伝えする。
ググるだけで水圧バルブを直接操作可能!? ――制御系システムの「危うい現実」
いま、製造業の世界で“セキュリティ”が注目されている。産業制御システムへのサイバー攻撃がニュースとなる中、制御系システムにおけるセキュリティの現状や「ネットの脅威」への対策などを、トレンドマイクロがまとめた調査レポートを基に紹介する。
事例から見る、製造現場でのセキュリティ導入の“ツボ”
増加する“制御システムを取り巻く脅威”に対し、制御システムセキュリティ対策が急務になっているが、そこには製造現場ならではの課題も多い。現場で実際に起こったセキュリティ事例から、製造現場でのセキュリティ導入の“ツボ”を考える。
なぜ今、制御システムセキュリティがアツいのか?
なぜ今制御システムセキュリティが注目を集めているのか。元制御システム開発者で現在は制御システムセキュリティのエバンジェリスト(啓蒙することを使命とする人)である筆者が、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Factory Automationの記事ランキング
- 品質保証とは何か、その定義を改めて考える
- タイの半導体製造工場で新棟が完成、ソニーセミコンが生産力を強化
- 三菱重工が航空機エンジン部品工場を増強、内製力強化で完全一貫生産を実現
- パワー半導体の電流測定が正確に、光プローブを用いた電流波形測定用センサー
- ルネサスが甲府工場で300mmウエハーライン稼働、パワー半導体の生産能力を2倍に
- 日立産機が三菱電機 名古屋製作所の配電用変圧器事業を譲受、2026年4月に統合完了
- 工場でCO2排出量1次情報をなぜ取得すべきなのか 85%以上の削減効果も
- 誤差9割、コストを抑えるためにもCO2排出量は測った方がよい
- OTセキュリティを巡るエネルギー業界の法改正とは、変わる事業者の事故対応
- IEC 62443とは何か、工場のサイバーセキュリティ対策のカギを握る国際標準を解説
よく読まれている編集記者コラム
ITmediaはアイティメディア株式会社の登録商標です。