産業制御システムのセキュリティ脅威
........
- 更新日
- 2024.05.08
- 公開日
- 2023.09.05
製造分野のOTとITの統合はセキュリティ対策に大きな影響を与えており、ITシステムはOTシステムから間接的に攻撃されるケースがあります。これらの攻撃は、重要なインフラへの損害やブランドイメージの低下だけでなく、人命にも危険をもたらす恐れがあり、国際的なサイバーセキュリティ犯罪に発展するリスクを考える必要があります。
1. EUサイバーレジリエンス法(CRA)
EUサイバーレジリエンス法(CRA)は、2023年12月に欧州地域内で政治的合意が発表された法案で、デジタル製品に対するサイバーセキュリティ要件を整備し、流通/貿易の障壁を取り除くことで、消費者やビジネスの安全性を向上させることを目的としています。2024年の欧州委員会による承認後、36ヶ月の移行猶予期間を経て2027年に施行される見込みであり、予定通りに進めばサイバーレジリエンス法に準拠していない製品は2027年以降に出荷できなくなります。
EUに出荷する企業は、CRAの要件に従って、製品のセキュリティレベルを証明する証明書を製品に添付することや、製品のセキュリティ対策や脆弱性管理などのサイバーセキュリティ対応策を整備し、定期的に報告することも必要になってきます。
CRAは、欧州市場に事業展開する日本メーカへの影響が少なくないため、早めに準備することが必要になってきます。
※CRAとは別に、無線搭載機器を対象に適応されるEU法の1つである、RE指令(無線機器指令)について知りたい方はこちらの記事も参照ください。
2. 産業用制御システムに対する「セキュリティ脅威」は?
工場などで使用される産業用制御システムは、制御機器のIoT化によって外部ネットワークとの接続が進んでいます。稼働データのクラウド活用などシステム高度化の恩恵を受ける反面、外部からのサイバー攻撃を受けるリスクに直面しているのです。
ドイツの情報セキュリティ庁(BSI)は、産業用制御システムにおける危険度の高いセキュリティ脅威を下表のようにまとめました。過剰なアクセスを行うDoS/DDoS攻撃はもとより、マルウェア感染やハードウェアの脆弱性を突く攻撃の頻度が増しています。
| 産業用制御システム セキュリティ10大脅威 | 2019年からの傾向指標 |
|---|---|
| インターネットやイントラネット経由のマルウェア感染 |  |
| サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性 | |
| 外部ネットワークやクラウドコンポーネントへの攻撃 |  |
| インターネットに接続された制御コンポーネント | |
| リモートメンテナンスアクセスからの侵入 | |
| リムーバブルメディアやモバイルシステム経由のマルウェア感染 |  |
| ヒューマンエラーと妨害行為 | |
| ソーシャルエンジニアリングとフィッシング | |
| DoS/DDoS 攻撃 | |
| 技術的な不具合と不可抗力 | |
出典:情報処理推進機構「ドイツBSI 産業用制御システム(ICS)のセキュリティ -10大脅威と対策2022-」を基に作成
3. 各業界でのセキュリティガイドライン
セキュリティを検討するにあたり、どのような規定があるのかを知る必要があります。各業界向けに多くのセキュリティガイドラインが発行されていますので、自社製品にどれが関係するのかを確認してみましょう。
| 業界 | ガイドライン | 説明 |
|---|---|---|
| 自動車 | ISO/SAE21434 | ISO(国際標準化機構)が発行する自動車のセキュリティに関する国際規格 |
| 医療機器 | IMDRFガイダンス | IMDRF(国際医療機器規制当局フォーラム)が発行。医療機器のセキュリティについて記載されている |
| 制御システム | IEC 62443 | IEC(国際電気標準会議)が制定した規格。工場のセキュリティ確保のために、制御システムにおけるセキュリティについて記載されている |
| IoT機器 | ETSI EN 303 645 | 民生用IoT機器に適用される一連の基本的なサイバーセキュリティに関する規定を提供する欧州規格 |
| NISTIR 8259 / 8425 | 米国IoT機器製造者向けサイバーセキュリティ指針 |
セキュリティ対策は、サプライチェーン全体で整備される必要があります。各国のセキュリティ規制や取引先のセキュリティ基準に満たない機器が使用されている場合、現在のサプライチェーンから外される恐れもあるのです。
4. 制御システム向け「IEC 62443」の対象製品範囲
IEC 62443では産業用制御システムのセキュリティを確保するために、ネットワークに接続する機器だけでなく、間接的に接続される機器もセキュリティの対象となります。
例えば、センサが不正データを受信することで誤った判断を行ったり、アクチュエータが攻撃されることで誤った指示を出したりと、意図しない動作を行う恐れがあります。
このようにネットワークに直接接続されていなくても、攻撃は別の経路を通じて機器に侵入し、制御システムに悪影響を及ぼす恐れがあります。
そのため、産業用制御システムにおけるセキュリティ対策は、システム全体を考慮して検討しなければなりません。
経済産業省は、直接的/間接的にインターネットに接続する産業向け製品を含め、IEC 62443に基づく認証を取得することを推奨しています。
| 直接的にインターネットに接続する可能性がある製品 |
|---|
| 通信機器(ルータ、アクセスポイント、ファイアウォール、UTM※など) |
| 産業用自律型ロボット(産業用ドローン、AGVなど) |
| 防犯関連機器(ネットワークカメラなど) |
- 「Unified Threat Management」の略で複数のセキュリティ機能を一つのデバイスまたはサービスに統合することで、ネットワーク環境を保護するためのセキュリティアプローチです。
| 間接的にインターネットに接続する可能性がある製品 |
|---|
| 通信機器(ハブ・スイッチなど) |
| 産業用センサ(温度センサ、圧力センサ、変位センサなど) |
| 医療機器(人工呼吸器、人工心臓弁、輸液ポンプなど) |
| 電気事業関連機器(スマートメータ、発電設備、PCSなど) |
| 鉄道事業関連機器(CTC装置、PRC装置など) |
| 産業用コントローラ(PLC、DCSコントローラなど) |
| 施設管理機器(入退室機器、受変電設備、照明、昇降機など) |
| 自動車関連機器(ECU、IVI、TCUなど) |
| 製造業・流通業関連機器(生産設備、自動倉庫など) |
| 航空事業関連機器(IMS、iDMUなど) |
出典:経済産業省Webサイトより抜粋し、弊社で加工
5. まとめ
欧州を筆頭に国内外のサイバーセキュリティ法規制はますます強化されています。また、産業機器へのサイバーセキュリティ対策には、最近では国際基準のセキュリティ規格「IEC 62443シリーズ」を指標に、組織的に取り組むことが主流になりつつあります。製造業者があらゆるリスクに対応するためには専門家を頼ることも一つの手段です。セキュリティ対策でお困りの方は、弊社までお問い合わせください。
