連載
» 2014年12月18日 09時00分 公開

場面で学ぶ制御システムセキュリティ講座(4):制御システムを守るためにまず押さえるべき7つの対策点 (2/3)

[原聖樹/トレンドマイクロ,MONOist]

2.ネットワーク

 ネットワーク上で必要なセキュリティ対策は通信の監視になるだろう。IDSは、既存のネットワークに影響を与えずにネットワークの監視が可能となる。

 インシデント発生時の対処において重要なのは、「何が」「どの範囲」に影響を及ぼしているかを知ることである。そのためネットワークの監視によって早期インシデントの検知が可能となる。

3.サーバ(プラント用DMZ)

 DMZ(DeMilitarized Zone)とは公開用Webサーバなど外部からアクセスがあるものを設置する非武装地帯のことである。

 制御システムにおいては、外部ネットワークから内部に直接通信させたくないような場合、DMZにサーバなどを設置し、データのやりとりはこの機器のみを通じて行うような構成にすることで、セキュリティを高めることができる。DMZなどの構成がとられていない場合は、まずこれらの領域を確保し、データのやりとりをより安全にするところから検討すべきだろう。

 また、DMZ上の機器は内外から通信されるため、要塞化を行うのが一般的だ。不要なサービスなどは停止し、ウイルス対策ソフトなども含めた、できる限りのセキュリティ対策を施すことで安全な運用が可能となる。

4.サーバ/クライアント(制御情報ネットワーク)

 図1では便宜上「制御情報ネットワーク」としたが、これが示すのは、制御システムにおいて「情報系システム」に近い運用をしている機器のことである。制御情報ネットワーク上の機器は、生産ライン上の機器ほどリアルタイム性やパフォーマンスを要求されないため、一般のウイルス対策製品などによる対策も可能なケースがある。

 ウイルス対策製品の導入にはパターンファイル(定義ファイル)の更新ができるようにネットワーク構成を考慮する必要があるが、もしパフォーマンス面の問題が起こり得ないのであれば、ウイルス対策製品を活用した一般的なセキュリティ対策を施すべきである。

5.サーバ/クライアント(コントロールネットワーク)

 コントロールネットワーク上の機器は、リアルタイム性が要求される機器や、シビアなパフォーマンスが要求されるようなミッションクリティカルな領域で稼働する機器を指す。

 一度導入されると10年以上利用されるような機器が多いのも特徴で、例えばWindows 2000やXPといった古いOSがパッチ適用されずに利用されているような環境もある。ウイルス対策製品などのセキュリティ対策が施されていないことが多いが、それは主に以下のような理由による。

  • OSが古いため、ウイルス対策製品のサポート対象外であるケース
  • ウイルス対策製品導入によるパフォーマンス低下が問題となるケース
  • クローズドネットワークのため、ウイルス対策製品を導入してもウイルスパターンファイルなどのアップデートができない環境であるケース
  • システム環境の変更が機器ベンダーのサポート対象外となるケース

 恐らく最もセキュリティ対策が進んでいないのがこれらの機器だ。ただ、制御システムにおいて、最も重要な機器群であるのも事実である。不正プログラムなどが侵入したとしても、エンドポイントとなるこれらの機器で不正プログラムの活動を阻止できれば、システム全体への影響を非常に低く抑えることが可能となる部分でもあり、対策は必須だといえる。

 解決策の1つとして、制御システムなどの「特定の用途で利用する機器」に対してはホワイトリストの技術により、「特定の用途のみにシステムを使用可能にする」ロックダウン型を活用する。ロックダウン型のセキュリティ対策製品は、比較的古いOSにも対応しており、通常のウイルス対策製品に比べ、システムに与える負荷は低めに抑えられている。また、インターネット接続が不要であるため、クローズドネットワーク環境でも利用が可能である。

Copyright © ITmedia, Inc. All Rights Reserved.