「CNC」も「CODESYS」も脆弱性とは無縁ではない脆弱性調査とセキュアな開発、多方面からの取り組みが不可欠に(2/3 ページ)

» 2019年10月10日 11時00分 公開
[高橋睦美MONOist]

既存製品の脆弱性調査や開発体制・プロセスの成熟度モデル策定で改善を支援

 別のセッションでは、ソフトウェアPLCとして多くのベンダーに採用されている「CODESYS」にもいくつかの脆弱性があることが指摘された。アプリケーションコードに存在する脆弱性だけでなく、CODESYSのPDUプロトコルにも、アドレススプーフィングやMITMにつながる脆弱性が発見されたという。

 工作機械はもちろんだが、IIoTや組み込み機器も含めた広義のIoT機器の数は急激に増加しており、調査会社によって数に幅はあるが、2020年には数十億を超えるIoT機器が存在すると予想されている。「より多くの物がつながり、コミュニケーションするようになれば価値も高まるが、リスクもまた高まる」(同社のSmart facility protection担当、Andrey Suvorov氏)

photo 同社のSmart facility protection担当 Andrey Suvorov氏

 KasperskyのICS CERTでVulnerability Research Group Managerを務めるVladimir Dashchenko氏は、「これにともなって、IoT機器を乗っ取って仮想通貨の採掘に利用したり、DDoS攻撃を仕掛けるボットネットを構築してブラックマーケットで売買するといった具合に、サイバー犯罪者によるIoT機器の脆弱性の悪用が活発化している」と指摘した。

photo KasperskyのICS CERTでVulnerability Research Group Managerを務めるVladimir Dashchenko氏

 ICS CERTの役割の1つは、こうした犯罪者に先回りして脆弱性を調査し、悪用前にベンダーに通知して修正を促し、顧客にパッチを配布してもらうことだ。前述のCNCマシンもそうだが、他にもスマートカメラをはじめ多くの機器の脆弱性を発見し、「責任ある開示」という原則の下でベンダーに通知することで「広くIoTの利用者を保護してきた」(Dashchenko氏)

 ただ、ITの世界でもそうだが、パッチを作成したからといって、速やかに顧客に行きわたるとは限らない。また、そもそも作り込まれる脆弱性の数を減らさなければ、いつまで経っても後追いの対策から脱却できない。

 そこでKasperskyでは、マイクロソフトや富士通といった企業と共同で「IoTセキュリティ成熟度モデル」を作成している。「内部の開発プロセスやパッチの配布方法も含め、ベンダーのセキュリティがどのくらい成熟しているかを把握し、次のレベルへ至るよう後押ししていくためのモデルだ」(Dashchenko氏)

 さらに、何より足りないとされる「ナレッジを持つ人材」育成支援のため、複数の大学と提携して学生向けに無償の教育プログラムを実施しているほか、サイバーセキュリティの改善を目指すスタートアップ企業を支援する「Innovation Hub」というプログラムも展開。ICS-CERTからの情報提供と合わせ、複数のアプローチでIoTのセキュリティ向上に取り組んでいくとした。

Copyright © ITmedia, Inc. All Rights Reserved.