制御セキュリティ 喫緊の課題 産学連携し、対策検証

情報化が進展する中で、製造現場で使用されている機器のネットワーク化も進んでいる。従来はプラントや装置の頭脳となるＰＣやＰＬＣなどがホストに接続されている程度であった。ところが近年は製造日時、ロット番号などはもちろん、画像センサで検査をした写真データや、ネジの締め付けトルクなど、ありとあらゆる情報が製品の個体番号と紐づけられ、「トレーサビリティ」の観点から管理されている。さらにデバイスレベルでのネットワーク化（ＩｏＴ化）が進むことで、データ量も膨大になり、現場の末端にあるハードディスクなどの記録装置だけでは足りず、各工場の状況を本社で集中管理するなど、ネットワークを介したデータ管理が当たり前のように行われ始めている。いわゆる「ビッグデータ」の「クラウド管理」である。

こうした情報化が進む一方で、サイバー攻撃も社会問題化している。２０１０年に発生したイランの核濃縮施設への攻撃は、ＰＣではなく、安全だと思われていたＰＬＣに対して行われている。

日本でも社会インフラを担う企業や官公庁がサイバー攻撃にさらされ、多くの被害が確認されている。ウイルスによる感染だけではなく、不正アクセスにより技術情報が盗まれるケースも増えてきており、さらなる注意が必要となっている。

制御セキュリティへの対応は、ものづくりに支えられている日本にとって非常に重要な取り組みの一つで、いま各方面で対応策の検証が行われている。その中核として活動しているのが「制御システムセキュリティセンター（ＣＳＳＣ）」である。

ＣＳＳＣは、日本の社会インフラの安全確保と持続、及び制御システムや制御機器の海外輸出力強化を目的に、産官学が連携して１２年３月に設立。甚大な震災被害にあった宮城県多賀城市に本部を置き、制御システムのセキュリティ向上の研究開発、評価、検証技術向上、標準への貢献、サイバー攻撃に対するテストベッドの構築と人材育成・普及啓発を進めている。ＣＳＳＣ内の独立組織「ＣＳＳＣ認証ラボラトリー」は、１４年４月１日にアジアで初めて、世界で２番目の「ＩＳＡＳｅｃｕｒｅＥＤＳＡ認証機関」となり、セキュア制御機器の製品認証を開始し、日本で日本語による世界共通の認証取得を可能にしている。

経済産業省は「ソフトウェア等脆弱性関連情報取扱基準」告示及び「情報セキュリティ早期警戒パートナーシップガイドライン」を今年５月に改正し、従来ソフトウェア製品を基本に考慮されていたが、制御システムセキュリティ対策の重要性が強くなっていることから「制御システム製品」も対象となることを明示した。

このような流れを受け、従来は各製品、ソフトウェアメーカーが独自で行っていたセキュリティ対策に対して、第三者認証を確立する動きが活発になっている。この分野に詳しい新誠一教授（＝電気通信大学）は「この分野では日本が先駆的な役割を担っている」としている。すでに社会インフラに用いられる制御システムのセキュリティマネジメントシステム国際標準（ＩＥＣ６２４４３―２―１
ＣＳＭＳ）に対して、三菱化学エンジニアリングと横河ソリューションサービスが世界で初めて認証を取得している。
ＣＳＭＳ認証は日本情報経済社会推進協会（ＪＩＰＤＥＣ）が認証機関として活動を行っている。

また、機器のセキュリティ認証も始まっており、日立の制御用コントローラ「ＨＩＳＥＣ　０４／Ｒ９００Ｅ」と、横河電機の統合生産制御システム「ＣＥＮＴＵＭ Ｒ ＶＰ ＣＰ４６１」は、ＣＳＳＣ認証ラボラトリーからＥＤＳＡ（組み込み機器のセキュリティ保証に関する国際的な認証制度）認証を受けている。

さらに、民間保険会社のサイバー攻撃の損害保険が普及し始めている。掛金をはじめとした契約内容については、「セキュリティ対策が適切に行われているかどうかも判断基準になるため、製造現場でも第三者認証をはじめとしたセキュリティ対策に投資を行うことで、保険金が安くなるなどのメリットが出てくる」（新教授）ことから、セキュリティ対策への積極的な投資がリスクの分散にもつながる。

新教授は「製造現場では『ネットワークにつながっていないから大丈夫』という間違った認識がいまだに残っていることも心配だ」としている。イランの核濃縮施設への被害もＵＳＢメモリーを介して感染したともいわれており、ネットワークと隔絶されているからといって安心はできない。むしろ、ＯＳやソフトウェアがアップデートされていない無菌室にいる病人の状態で、「ウイルスに対する抵抗力が製造現場の機器は、特に弱い」（新教授）という。

稼働中の専用ソフトウェアが、最新ＯＳに対応していないなどの問題で、製造現場ではＷｉｎｄｏｗｓＸＰが使用されているが、サポートが終了してもすぐに更新できないことが対応の遅れる要因になっている。