社団法人 日本電気制御機器工業会

講演④「制御システムセキュリティへのNECAの取組み」

NECA 制御システムセキュリティ研究会副主査 株式会社デジタル 村上正志 氏

副主査 アズビル株式会社 高橋 誠 氏

村上正志 氏
村上正志 氏
高橋 誠 氏
高橋 誠 氏

過去の制御システムはインターネットなど外部と直接接続されず、情報系ネットワークとも隔離されていたため、セキュリティ対策の必要性は低かった。しかしながら、近年の制御システムが置かれている環境は変化しており、インターネットなど外部と接続されることによりウィルス感染・不正操作・情報漏えいの危険性が高まり、セキュリティ対策の必要性が高まっている。特にイランの核施設をサイバー攻撃したStuxnetの出現は制御システムの関係者へ大きなインパクトを与えた。それを機会に、制御システムを構成するコンポーネントにおいても対策を必要 とされるようになってきた。

今後、エンジニアリング関係者は制御システムセキュリティの本質を理解していかなければならず、エンドユーザの現場側もサイバー攻撃を受けた場合の対処方法や復旧方法について考えていく必要がある。(インシデント対応)

制御システムと情報システムとの一番大きな違いは、制御システムが更新されるまでの期間が非常に長いということと、社会的責任を持っている制御システムは短時間での復旧を優先するというところになる。Stuxnetの登場によって、制御システムに関わるそれぞれの立場で「どういう対策をしていかなければならないか」「どうやって安心できる環境を作り出せるか」という事を基本から考え直さなければならなくなった。実際に国内でも緊急にインシデント対応が必要とされる事例が発生している。

こうした背景のもと、経済産業省により制御システムのセキュリティ強化に向けた諸課題を検討するための「制御システムセキュリティ検討タスクフォース」が2011年に設置され、NECAもオブザーバとして参加してきた。さらに業界として対応する必要があるために、関連9団体による「関連団体合同委員会」が発足し、それに伴いNECA組織内にも「制御システムセキュリティ研究会」を技術委員会の下に発足させて活動を開始している。

NECAの「制御システムセキュリティ研究会」が今まで取り組んできた内容は以下の6つである。

  • ①ユーザ向けガイドラインの作成と対外アピール
  • ②制御システムセキュリティシンポジウム開催(2013年11月展示会システムコントロールフェア)
  • ③制御システムセキュリティセンター訪問
  • ④名古屋工業大学 テストベッド訪問
  • ⑤国内標準組織IEC/TC65/WG10での活動
  • ⑥「脆弱性情報に関する告示及びパートナーシップガイドラインの変更」に関する審議
パネルディスカッションの様子
パネルディスカッションの様子

ユーザ向けガイドラインとリーフレット(漫画絵を含む)は、制御システムをよりセキュアに構築・運用し、操業を安全に継続するためにどうしたら良いかをまとめており、NECAホームページで公開している。

今後も上記の取組みを継続しつつ、さらにベンダ側の取り組みとなるEDSA認証や脆弱性情報の扱いなどの課題をガイドラインとしてまとめていくと同時に、評価・認証ツールの使用方法を把握する活動も実施していく予定である。

最後に制御システムセキュリティについてはユーザ・システムインテグレータ・装置/製品ベンダ・様々な工業会・自治体・学術関係者などがそれぞれの対策方法を考え、EUをはじめとする関連機関との連携をしながら、安心できる社会を作っていく必要があることを提唱する。

Copyright 2001 - 2017 NIPPON ELECTRIC CONTROL EQUIPMENT INDUSTRIES ASSOCIATION