セキュリティの
学び場

今回の解説ニュース

産業制御システムのセキュリティについて、実態調査の結果が発表されています。今回は産業制御システムのセキュリティについて説明します。

産業制御システムとは、電力、ガス、水道、鉄道のような社会インフラであったり、工場やプラントの監視・制御や生産・加工ラインで使われているシステムを指しています。

記事内の調査結果によると、サイバー攻撃による産業制御システムをつかさどる、ICS/OTの中断を過去12カ月間に経験した法人組織は、日本で91.3％、アメリカで92.0％、ドイツで93.0％と、高い割合で示されています。

身近な社会インフラなどで使われている産業制御システム

ICSはIndustrial Control Systemsの略で、産業制御システム自体を意味しています。それを動かす制御技術を表すのがOTで、Operational Technologyの略です。皆さんに聞きなじみがあるのはITの方かと思います。こちらは、ご存じの通りInformation Technologyの略で、情報技術という意味です。私たちの会社もIT企業と呼ばれていますね。

OTは電気、ガス、水道などを制御する技術だと説明しましたが、これらの社会インフラで一番困ることはそれ自体が停止してしまう事ではないでしょうか。OTでは何より停止しないことが最重要視されています。言葉を変えれば、セキュリティ対策によってシステムが停止することは、許されないわけです。

「システムを止める事が許されない」がゆえに起こる被害

一方でITの場合は、セキュリティ対策の一環として毎月OSのアップデートを実施し、その際には再起動を行い、アップデートの完了を待っているかと思います。パソコンなどのITだと、アップデートが終わるまで待てばいいのですが、産業制御システムのOTだとそうはいきません。

その結果、システムのアップデートやセキュリティの診断などがやむを得ず見送られることが多く、脆弱性が放置されてしまう状況にあるようです。そのためか、産業制御システムの中断による金銭的な損害は、平均して約2億6906万円にもなるようです。

以前、大手自動車メーカーのグループ会社がサイバー攻撃を受けて、グループ全体で製造が止まったというニュースがありましたが、同じ仕組みで起きた可能性もあるかもしれません。過去12カ月の間にICS/OTシステムが受けたサイバー攻撃の種類では、「クラウドサービスの脆弱性を利用したサイバー攻撃」が53.3％、「ソフトウェアサプライチェーン攻撃」が53.0％、「DDoS攻撃」が51.7％で、半数を超えています。

かつては、つながるネットワークが工場内などに限られていた産業制御システムですが、最近では、インターネットやクラウドに接続されるようになったことで、これらのITで見られていたサイバー攻撃が、OTでも同様に見られるようになったようです。

今回は、産業制御システム、ICS/OTのセキュリティについてお届けしました。