危機迫る！　制御システムセキュリティ　各社のビジネスを追う

　IoTセキュリティへの注目とともに、徐々にスポットを浴びつつある制御システムのセキュリティ。システムのリソースや可用性など、情報システムのセキュリティと比べると考慮しなければならないことがあるが、セキュリティベンダー各社はそれぞれの方法で、制御システムの安全性を担保しようとしている。

●インストール不要のソフトで可用性に影響を与えない

　前ページで述べたように、制御システムは長ければ20年にもわたって使い続けることが導入の段階で計画されている。たとえ、ユーザーがセキュリティ対策の導入を検討したいと思ったとしても、そのタイミングがシステムのリプレースの時期と重なったとすれば、最初からセキュリティ要件を含めたシステムを設計し、セキュリティ製品を導入することが可能だが、そうでない場合は、既存設備の可用性に影響を与えないようなセキュリティ対策を行う必要がある。

　それを踏まえ、制御システム用多層防御対策として、トレンドマイクロでは、既設向けソリューションと、新設向けソリューションを用意している。既設向けでは、既存設備にできるだけ影響を与えずに、早期に異常を検知・対処する。新設向けでは、新たに構築するシステムにあらかじめセキュリティ要件を盛り込んだうえで、可用性／パフォーマンスに影響を与えない対策を提案する。

　具体的には、脅威の侵入を防止する入り口対策、万一侵入した場合の端末保護（新設）／定期チェックによる早期の異常検知（既設）、ネットワークの監視の3ステップによる対策を行う。既存設備向けでは、入り口対策として、ウイルスのパターンファイルを実装したUSBデバイス「Trend Micro USB Security」で、データのコピー時に、現場の業務や外部の作業員が利用するUSBデバイスへのウイルス感染を防止。インストール不要のUSB型ウイルス検索・駆除ツール「Trend Micro Portable Security 2」では、外部からの持ち込みPCにウイルスがないか検査・駆除するとともに、クローズド環境で動くHMI／EWSに対して定期的にウイルスチェックを行うことができる。しかし、定期的にチェックするのでは事後対処になるため、ネットワーク上の脅威を検知する製品「Deep Discovery Inspector」で、脅威の侵入になるべく早く気づけるようにする。このほか、企業オフィスと工場、あるいは工場と別の工場をつなぐネットワークには、IPS製品「TipingPoint TPS」でマルウェアの侵入を防ぐ。

　新設設備向けもアプローチはほぼ同じだが、とくにセキュリティ対策ソフト「Trend Micro Safe Lock」を用意している。これは、制御システム向けのウイルス対策製品だ。「従来のパターンマッチング型のウイルス対策製品では非常に負荷がかかり、システムの可用性に影響を与えてしまうため、制御システムにはなかなか導入できない。しかし、Trend Micro Safe Lockはあらかじめ決めたアプリケーションしか動かさないため、ウイルス検索のような負荷のかかる処理を一切行わない。システムパフォーマンスへの影響は極めて低いため、製造業に非常に向いている」（上田勇貴・プロダクトマーケティング本部ICSセキュリティグループ プロダクトマーケティングマネージャー）。仮に、未知の脅威を発見したとしても、決めたものしか動かさないため、マルウェアの動作をブロックすることができる。

　また、トレンドマイクロではこうした製品提供のほか、基本構想から導入・運用までのシステムのライフサイクル全体に必要なセキュリティ基準の整備や、セキュリティ対策の知識・ノウハウを備えた組織／人材の育成づくりのサポートを行っている。同社にとって、これらは販売収益を狙ったものではなく、あくまで顧客の支援にとどまるものだが、ユーザー企業にとっては、セキュリティ対策を継続的に実施し、脅威に対抗していくために、こうした体制づくりが大前提となるといえるだろう。

●コンサルティングとホワイトリスティングに注力

　制御システムセキュリティ市場のなかで存在感を誇るマカフィーでは、制御システム向けビジネスとしてコンサルティングと製品提供を行っている。最近、ビジネスの中心となっているのはコンサルティングであるといい、「他社でも同じだと思うが、ここ数年で引き合いが急速に伸びてきている」（佐々木弘志・セールスエンジニアリング本部サイバー戦略室シニアセキュリティアドバイザー）という。

　繰り返しになるが、IoTやインダストリ4.0によって、あらゆるものがインターネットにつながるようになったことで、IoT機器だけでなく、制御システムセキュリティへの意識が高まり、電力業界を中心に、さまざまな企業が取り組みを始めている。その一方で、「（そうした企業がこれまで）ITやセキュリティを事業にしてきたわけではないことに加えて、ITとOTとで組織体制が分かれていて、OT側にセキュリティの知識が不足し、いざセキュリティ対策をしようと思っても、どうしたらいいかわからない」というのがユーザー企業の現状だ。制御システムセキュリティへの関心が高まっているといえ、システム更新のタイミングでないとセキュリティ製品を導入しづらいこともあり、ITとOTのギャップを埋める組織体制づくりや、SoCやCIRT構築といった運用支援など、コンサルティングの提案が活発化しているという。マカフィーの顧客としては電力が中心で、「今後、ほかの業界の顧客にも汎用的に広げていけるようなフレームワークづくりを推進していく」としている。

　製品面では、ホワイトリスト型のマルウェア対策製品「McAfee Application Control」「McAfee Embedded Control」が好調だ。ホワイトリスト方式によるマルウェア対策では、最初に許可するアプリケーションを設定するだけでよいのでメンテナンスの手間がかからず、パターンマッチングやふるまい検知型の製品と比較するとシステムにかける負荷も少ない。また、「McAfee Application Control」では、管理ツールを利用した集中管理が可能になる。

　とはいえ、「これだけで100％の対策が行えるわけではない」と佐々木シニアセキュリティアドバイザーは警鐘を鳴らす。「重要インフラでは、システムに何かを入れて停止させてしまうことを恐れるため、対策しづらいとともに、ユーザーもそれを嫌がる。セキュリティリスクは残ってしまうし、残さなければシステムを運用できない」。そこで、セキュリティ脅威をなるべく早く見つけることを提唱するとともに、「McAfee Security Information and Event Management（SIEM）」の導入を促進。ログの収集と相関分析で状況を可視化し、インシデントが発生する前に異常を検知できるようにすることを推奨している。

[次のページ]