IoT（Internet of Things：モノのインターネット）の普及によって、 社会インフラや製造業などを支える「ICS」（Industrial Control System：産業用制御システム）にもサイバー攻撃のリスクが指摘されるようになりました。 これらのシステムは、企業における一般的な情報システムに比べてセキュリティの取り組みが遅れているといわれ、 サイバー攻撃の影響は、実社会における物理的な損害に及びます。 今回は、IoTによってますます高まる産業用システム（ICS）のセキュリティの重要性について考えてみます。

物理的空間とサイバー空間を結ぶICS

IoTにより、さまざまな「モノ」がインターネットに接続され、 「サイバーフィジカルシステム」（CPS）がサイバー空間と実社会の物理空間を結ぶ役割を担います。

CPSは、物理世界にあるさまざまなセンサーなどから収集されたデータを蓄積、処理、活用するシステムのことです。 小型の組み込みシステムから、製造業における製造機器、交通、電力といった社会インフラやビル、都市の制御システムに至るまで、 社会のあらゆるところでサイバー空間と現実の物理空間を結びつけています。

そして、産業プロセスの管理を担うICSはCPSの一種ということができます。 その中には、生産工程やインフラなどのシステム監視やプロセス制御を行う「SCADA」（Supervisory Control And Data Acquisition：監視制御システム）や、 工場などの自動機械の制御やエレベータやビルの制御などに使われる「PLC」（Programmable Logic Controller：プログラム可能論理制御装置）などが含まれます。

近年、ICSがサイバー攻撃の標的になるケースが出てきました。背景には、 IoTによって、OT（Operational Technology：運用テクノロジー）とIT（Information Technology：情報テクノロジー）の垣根が薄れてきたことが挙げられます。

IT領域では、独自仕様のメインフレームがオープン化し、さらにインターネットをはじめとするオープンな規格でネットワークに接続され、発展してきました。 そして、OT領域では、これまで閉じられた空間で運用されることを前提としていたICSが、IoTによってインターネットに接続され、 汎用的なハードウェアやソフトウェアを使用することによって、ITと同じようにサイバー攻撃の脅威に晒されることになったのです。

ICSを標的としたサイバー攻撃の事例

　一般的に、インダストリー（産業）領域は、企業ITに比べてセキュリティの取り組みが遅れているといわれ、 IoT機器の脆弱性がサイバー攻撃に悪用されるケースも増えてきました。

たとえば、2015年には、ウクライナで複数の電力供給会社が、標的型攻撃と思われる攻撃により、 メールの添付ファイルを経由して社員のパソコンがマルウェアに感染、ICSに不正アクセスされた結果、大規模な停電が発生する被害を受けました。

また、2016年にはサンフランシスコ市営鉄道（MUNI）が、ランサムウェアの被害に遭い、地下鉄の券売機内に保存されたデータが暗号化され、 券売機が使用不能となりました。そして、復号するための身代金として100ビットコインを要求される事案が起きています。

このように、製造の現場で生産がストップしたり、社会インフラが攻撃を受けたりすることで、 物理的に大きな損害をもたらす可能性がある点がより深刻です。

運用を止められないため、脆弱性解消の課題もある

　ICSへの攻撃は、外部からの不正アクセスや、従業員などの内部の人間の不注意や内部犯によるものがあります。 たとえば、外部からの攻撃では、Googleなどの誰でも使える検索エンジンを用い、 特定の演算子を用いて検索することで、制御機器の管理者ページを容易に検索することが可能です。 また、内部からのリスクでは、従業員が、マルウェアに感染したUSBメモリーなどを、隔離されたネットワーク内に接続するかもしれません。

また、ICSの脆弱性解消の課題もあります。というのも、インフラ施設はその性質上、運用を止めることが難しいからです。 たとえば、ベンダーからICSの脆弱性が発見、報告され、それに対する修正プログラムが配付されても、運用を止めることができずに、適用に時間がかかるケースがあります。 また、施設の管理者が、機器がネットワーク接続されていることを認識していないケースもあり、そこがセキュリティの弱点になる場合もあります。

その結果、プログラムの脆弱性をつき、SQLインジェクションなどの攻撃によって、ネットワークに接続されたビジネス領域が攻撃を受け、 最終的に、隔離されたインフラ施設の領域に対して攻撃が行われるのです。

ICSに対するサイバー攻撃を防ぐには

ITとOTの両面でセキュリティ対策を進め、ICSに対するサイバー攻撃を防ぐには、社会インフラなどのインダストリー領域の現場でセキュリティの意識を高めることが大切です。 たとえば、攻撃者の視点で対策のポイントを学ぶセキュリティトレーニングなどが有効な対策となるでしょう。

新たにクラウドサービスの導入を検討したい、また複数のクラウドサービスから何を導入すべきか比較検討したい企業は、 検討しているクラウドサービスが最も重要な認証である「SOC2 タイプ2」を取得（報告書を受領）しているかどうかを、 判断材料の一つに加えてみてはいかがでしょうか。

1. 施設内のどこに、どんな機器が使われていて、どんな状態かを見える化（台帳化）する
2. 台帳化した機器に対する脆弱性検知・管理といったエンドポイント対策を行う
3. 産業ネットワークに対する監視、異常検知などの対策を行う
4. インシデントに迅速、適切に対応する体制を整備する