SHARE Twitter Facebook Google+ はてなブックマーク LinkedIn

インターネットの脅威から工場を守るために行うべき活動

株式会社NTTデータ 技術革新統括本部 セキュリティ技術部

課長代理 鈴木 悦生

2018.07.09

グローバル化対応で工場の機器がインターネットを介し情報交換を行い始めた。今や、工場はIT機器同様にハッキング等の脅威に晒されている。ITシステムのように外部の有識者を適宜活用するなどしつつ、セキュリティ規格を参考に自社向けのセキュリティ対策を検討していかねばならない。

製造業において、工場などで使われている機器は、これまでインターネットと接続されておらず、配慮すべきは物理的な安全(セーフティ)でした。
しかし、企業がグローバル化し、国内だけでなく海外の工場と連携したり、配送の情報と連携した生産管理が行われたりと、工場においてもインターネットを経由して情報のやり取りをする機器(IoT機器)の数が増加してきました。

世界のIoTデバイス数の推移および予測

図1:世界のIoTデバイス数の推移および予測(※1)

ご存知の通りインターネットには企業内に閉じられた安全なネットワークとは異なり、ハッカーなどの外部脅威が存在しています。
既にインターネットを介した情報のやり取りを行ってきているIT分野では、様々な関連機関のセキュリティ規格などを参考として、自社向けのセキュリティ対策を実施してきました。
工場でもインターネット経由で情報のやり取りを行うようになった現在、ITの機器と同様に、これまで未対応だった脅威から工場の機器を守っていく必要があります。

従来、IT機器においてインターネット上の脅威による被害を受けていたのは主に情報資産でした。しかし今後、工場でロボットなどの機器が誤作動し、働く人がケガをしたり、製品が不良品になったりと、現実世界に対して損害を与える恐れもあります。
例えば、すでにイランでは遠心分離機がウイルスによって破損させられた事例も起こっています。(※2)

NIST(※3)などのセキュリティ機関からも、インターネットのサイバー世界と工場などの現実世界がつながってきていること、サイバー世界の負の影響(ハッカーの脅威など)が現実世界にも負の影響(工場の事故など)を及ぼす恐れがあることを発信しています。

サイバーから物理への負の影響

図2:サイバーから物理への負の影響(※4)

だからといって業務を遂行するためには、サイバー世界の脅威を恐れて工場の機器をインターネットに接続しない、という訳にはいきません。

そこで、工場のセキュリティを守ることが必要になってきます。
まず参考となるのは、NIST SP 800シリーズ(※5)や、IEC 62443(※6)といったセキュリティ規格です。これらのセキュリティ規格には、IoT機器に対するセキュリティのベストプラクティス等が記載されています。(※7)
しかし、セキュリティ規格に示されるベストプラクティスの通りに、セキュリティ対策を実施すれば安全というわけではありません。自社の事情に合わせたセキュリティ対策が必要となります。

自社の事情に合わせたセキュリティ対策を実施するためには、自社の設備や製品など特有の環境や使用方法に対する理解だけでなく、セキュリティ対策検討の元となるIT分野のセキュリティノウハウ、設備や製品に対する実機評価が行えるスキルなどが必要となります。
これらのノウハウやスキルを自社で持ち合わせていない場合は、社外の有識者を活用してセキュリティ対策を行うことも有効な方法の一つです。
IoT機器に対するセキュリティ規格と有識者の知見を活用して工場のセキュリティを確保することで、インターネットを介した情報のやり取りを安全に行えるようになり、企業の発展に資することができるでしょう。

  1. ※1 平成28年度版 情報通信白書総務省 図表2-1-1-2 世界のIoTデバイス数の推移および予測(HIS Technology 出典)
    http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h28/pdf/n2100000.pdf(外部リンク)
  2. ※2 コンピューターウィルスStuxnet によるイラン核関連施設攻撃, 防衛研究所
    http://www.nids.mod.go.jp/publication/commentary/pdf/commentary020.pdf(外部リンク)
  3. ※3 NIST(NIST:National Institute of Standards and Technology)米国国立標準技術研究所
  4. ※4 「Framework for Cyber-Physical Systems Release 1.0 , NIST https://s3.amazonaws.com/nist-sgcps/cpspwg/files/pwgglobal/CPS_PWG_Framework_for_Cyber_Physical_Systems_Release_1_0Final.pdf(外部リンク)Figure 14 A CPS View:Systems of Systems」を基にNTTデータで作成
  5. ※5 セキュリティ関連NIST文書(独立行政法人情報処理推進機構)
    https://www.ipa.go.jp/security/publications/nist/(外部リンク)
  6. ※6 IEC62443及びCSMS/EDSA規格の詳細(独立行政法人情報処理推進機構)
    https://www.ipa.go.jp/files/000026445.pdf(外部リンク)
  7. ※7 その他、参考になるIoTのセキュリティガイドラインをいくつかご紹介します。
    ・「IoTセキュリティガイド標準/ガイドライン ハンドブック 2017年度版」(日本ネットワークセキュリティ協会)
    http://www.jnsa.org/result/iot/2018.html(外部リンク)
    ・「IoT開発におけるセキュリティ設計の手引き」(独立行政法人情報処理推進機構)
    https://www.ipa.go.jp/security/iot/iotguide.html(外部リンク)
    ・「IoTセキュリティガイドライン Ver 1.0」(IoT推進コンソーシアム 総務省 経済産業省)
    http://www.soumu.go.jp/main_content/000428393.pdf(外部リンク)

Profile

鈴木 悦生
株式会社NTTデータ 技術革新統括本部 セキュリティ技術部
課長代理 鈴木 悦生

周辺系装置、ワントゥワンシステム等の開発に携わった後、1999年よりセキュリティコンサルティング業務に従事する。
ISO27001認証取得コンサルティング、プライバシーマーク認証取得コンサルティングを経て、最近は、自動車会社に対するセキュリティコンサル(ISMS構築、開発技術標準改訂等)、自動車業界団体に対する車載システム脅威一覧作成支援、アドバイザ、IEC62443およびJ3061に基づくセキュリティ基準作成コンサルティングなどを行う。