前へ
サイバー攻撃 プラントも対応急げ
三菱重工業など有力防衛産業企業がサイバー攻撃を受け、衝撃が広がっている。コンピュータウイルスを用いたサイバー攻撃や組織内部からの情報漏えいは以前からあったものの、近年は政府機関なども対象にした「標的型」と呼ばれる攻撃が増加しており、脅威が増している。化学および関連企業も標的型のサイバー攻撃の対象になりかねないが、加えてプラント稼働を監視・制御するシステムを攻撃する事例が出現しており、事業継続の視点からも対応が迫られている。
石油化学工業など産業用制御システムは、生産計画・管理と製造工程を結ぶ制御系情報ネットワークと、PLCやシーケンサなどを利用した製造装置の制御ネットワークに分けられる。これまでは常時ネットワークにつながっていないことで、サイバー攻撃の影響を受けにくいと言われてきた。またシステムの仕様は事業所ごとに固有なためウイルスや不正プログラムの侵入が難しいとされてきた。
しかし経産省が2008年度に行った調査では、プラントや各種製造装置は外部ネットワークとつながってきており、しかもOSに共通のウィンドウズ系などの採用が増加している。加えて、リアルタイム性や稼働性が重視される制御システムではウイルス対策ソフトが導入できない、ぜい弱性が発見された機器に対してもパッチ対策が講じにくいことで、オフィス系に比較すると情報セキュリティ対策が遅れている。
経産省は8月に「サイバーセキュリティと経済研究会」の報告書を発表した。今回問題となっている特定の組織からの情報などを搾取して被害を与える標的型とともに、重要インフラを含む産業用制御システムへの攻撃に対しても議論を重ねた。研究会は昨年12月に発足したが、その後東日本大震災が発生、製品サプライチェーンが寸断されて生産活動に打撃を与えた。この経験から、特定企業の制御システムがサイバー攻撃に晒されると、震災後の再現になりかねないという危機感も高まった。
報告書では制御システムの安全性確保に3つの対策を示した。未然防止対策として制御システムのセキュリティ基準を作成して国際標準を推進するとともに、国内の制御システムのセキュリティを客観的に評価して海外の認証制度と相互認証に対応できるスキームの整備が必要とした。事後対策では重大事故に至る可能性のあるインシデント対策の構築を求めた。さらに人材育成、安全性確保に対するリスクとコスト意識を産業界に醸成させる重要性も指摘した。官民が一体になった取り組みが急がれている。
