制御システムセキュリティの現在とこれから制御システム技術者のためのセキュリティ基礎講座(9)(1/3 ページ)

制御システム技術者が知っておくべき「セキュリティの基礎知識」を分かりやすく紹介する本連載。最終回となる今回は、今までに述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で、これから制御システムセキュリティの分野がどうなっていくのかについての考えを紹介する。

» 2014年11月06日 10時00分 公開
[佐々木 弘志 / マカフィー,MONOist]
マカフィー

 「制御システム技術者」に対しセキュリティにおける、情報提供と注意喚起を目的としている本連載だが、今回はいよいよ最終回である。ここまで、制御システムセキュリティについて取り巻く環境や、対策の方法などをさまざまな角度から紹介してきたが、この連載を進めている間にも、Stuxnetに続く新たな脅威の出現など、制御システムセキュリティを取り巻く環境は刻一刻と変化している。

 今回は、これまで述べてきた制御システムセキュリティの基礎的な考え方をまとめた上で「これから制御システムセキュリティの分野がどうなっていくのか」について、筆者なりの考えを述べることにする。




制御システムセキュリティにおける新たなトピック

 第1回「なぜ今、制御システムセキュリティがアツいのか?」では、制御システムセキュリティが注目されている理由について以下の3つを紹介した。ここでもう一度おさらいするとともに、新たな動きについて紹介する。青字で示した部分は、記事掲載後のトレンドを追記したものである。

制御システムを取り巻く環境の変化

  • 制御システム間の通信インタフェースのイーサネット化
  • 制御システムの汎用OS化(Windows Embedded, Linuxなどの利用)
  • IoT(モノのインターネット)、インダストリー4.0のように制御機器がインターネットにつながるソリューションがトレンド化

制御システムを狙った攻撃の登場

  • Stuxnet (2010年7月)
  • Operation Dragonfly (2014年6月)

制御システムセキュリティに対する国レベルでの取り組み開始

  • 制御システムセキュリティセンター(CSSC)の開所(2013年5月)
  • CSSCの認証ラボラトリーにてEDSA認証の開始(2014年4月)
  • 制御システム向けマネジメントシステム(CSMS)認証制度の開始(2014年4月)

 あらためて整理してみると、本連載が開始してからわずか1年で、それぞれの理由について着実な進展があったことが伺える。こうした環境が、制御システムセキュリティがビジネスとして成立する土壌を形成していっていることは間違いない。今後も、重要インフラを中心にこのトレンドは続くものと思われる。そして、本連載の目的は、このトレンドを踏まえて、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介することであった。

制御システムセキュリティの基本的な考え方

 まず、「セキュリティ」の基本的な考え方とは、守るべき重要資産を特定し、それらの必要な機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を維持することである。

 第3回「『制御システムセキュリティ』ってそもそもどういうこと?」でも述べた通り、この観点自体は、制御システムでも情報システムでも変わらない。しかし、情報システムでは機密性がより重視され、制御システムでは可用性がより重視されることがポイントとなる。例えば、制御システムでは、可用性を損なうような変更そのものが行えないため、情報システムでは当たり前とされているようなOSの更新やソフトウェアの更新が行われにくいのだ。そういった環境下でのセキュリティ対策とはどのようなものであろうか。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.