産業システムとITシステムで異なる「最優先事項」
トレンドマイクロ株式会社
Threat Researcher Forward-looking
Threat Researcher (FTR)
カイル・ウィルホイト(Kyle Wilhoit)氏
産業制御システムのセキュリティには、ITエンジニアの世界とは若干異なる「産業システム」の事情が現状に関係してくる。
トレンドマイクロのスレットリサーチャーで、BlackHatなどでも講演経験を持つカイル・ウィルホイト氏によると、産業制御システム(ICS:Industrial Control System/SCADA:Supervisory Control And Data Acquisition)は「あらゆる分野での生産に使われているシステム。例えば、水、ガス、電力などのインフラシステムや、自動車の製造などにも使われているもの」と述べる。
これらは通常、独自のOSが使われていた。インターネットのない時代に導入されていたものがいまも使われているため、多くの場合、セキュリティ対策が不十分なままであるという。
これは、産業システムとITシステムの成り立ちの違いも関係する。ITシステムでは通常「機密性」(Confidentialy)が最優先されるが、産業システムにおいては「可用性」(Availability)が最優先されてきた。そのため、何よりも運用が停止しないことを最優先しているため、セキュリティの優先度は低くなる。
この現状が露呈したのが、2010年に話題になった中東の原子力関連施設にある遠心分離機を狙い撃ちした「Stuxnet」による攻撃だ。一般的な産業制御システムに対するハッカー/クラッカーの関心は2002年頃から高まり、インターネット接続された制御用デバイスが大幅に増加したことから、攻撃者によるデバイスの発見も容易になったことが挙げられるという。
