最新セキュリティマネジメント(第19回)産業用制御システムのセキュリティ強化

リスクマネジメント 働き方改革

公開日:2022.12.20

  • PDF PDF
  • ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。

 電力、ガス、水道、鉄道といった社会基盤や、石油、化学、鉄鋼など多くの工場・プラントにおいて、産業用制御システムが監視、制御などに用いられている。こうした産業用制御システムは、これまでスタンドアローン型で利用されてきた。しかし近年、インダストリー4.0やIoTの進化によってインターネットに接続されるケースが増えている。

 インターネットに接続されればセキュリティリスクは増大する。重要な社会基盤や多くの産業で用いられている産業用制御システムを守るために何が必要なのか。IPAが公開した、ドイツ連邦政府がまとめた「産業用制御システム(ICS)のセキュリティ-10大脅威と対策2022-」を参考に考えてみよう。

インターネット経由で広がるマルウエア感染

 IPAは2022年12月に、ドイツ連邦政府の情報セキュリティ庁(BSI)がまとめた「産業用制御システム(ICS)のセキュリティ-10大脅威と対策2022-」の日本語版を発表した。そこでは、近年セキュリティリスクの増大が指摘される産業用制御システムがさらされている10の脅威とその原因、脅威のシナリオ、そして脅威を軽減するための対策を解説している。

 10の脅威のうち特に注目したいのは、2019年から増加傾向にある脅威だ。その多くがインターネットなど外部と接続されるようになったことに起因している。ここでは中でも増加傾向が顕著な「インターネットやイントラネット経由のマルウエア感染」と「サプライチェーンにおけるソフトウエアおよびハードウエア脆弱性」について取り上げてみたい。

 「インターネットやイントラネット経由のマルウエア感染」の原因は企業ネットワークで使われているOSデータベース、ブラウザ、電子メールなどのコンポーネントの脆弱性にある。これらのコンポーネントにはほぼ毎日新たな脆弱性が発見され、サイバー攻撃者はその脆弱性を突いてくる。

 攻撃者がインターネット上の脆弱性を悪用してイントラネットに侵入し、悪意を持ったソフトウエアであるマルウエアをイントラネット上に忍ばせる。産業用制御システムが接続されているネットワークに攻撃者が侵入しても、必ずしも従業員が気付くとは限らない。

 想定される脅威のシナリオとしては、電子メールの添付ファイルやオフィス文書などを介したり、細工された外部サイトに誘導されたりすると、産業用制御システムが感染する。感染すると産業用制御システムのコンポーネントがマルウエアの操作によって悪用されたり、企業Webサイトが攻撃されたりする。

 対策としては従来のようなファイアウォールウイルス対策ソフトなどの水際対策に加えて、ネットワークを最大限分離して攻撃経路をできるだけ限定したり、産業用制御システムのネットワークに定期的かつタイムリーにパッチを適用したり、侵入検知システムで通信状況をモニタリングしたりするなどが挙げられる。

サプライチェーンの脅威はより複雑で広範囲…

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

会員登録3つのメリット!!

  • 最新記事をメールでお知らせ!
  • すべての記事を最後まで読める!
  • ビジネステンプレートを無料ダウンロード!

執筆=高橋 秀典

【TP】

「リスクマネジメント」人気記事ランキング

連載バックナンバー

最新セキュリティマネジメント

無料!おすすめのダウンロード資料

  • 企業の情報セキュリティリスク認知調査2023

    企業の情報セキュリティリスク認知調査2023

    テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。

  • 情報セキュリティ対策意識調査2022

    情報セキュリティ対策意識調査2022

    DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。

  • その対策は効果ナシ!セキュリティの常識を検証する

    その対策は効果ナシ!セキュリティの常識を検証する

    サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が 崩れ始めています。本当に必要な対策とは何か?情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。

オンラインセミナー動画

配信期間

2024年6月11日(火)~2024年9月30日(月)

DX・業務効率化関連

アトツギに聞く「守るために変わる」社内コミュニケーションとは

配信期間

2024年6月5日(水)~2024年7月31日(水)

カーボンニュートラル関連

カーボンニュートラル実現への第一歩~温室効果ガスの可視化・削減の最新動向と具体事例~