特集
» 2019年10月04日 07時00分 公開

Kaspersky Industrial Cybersecurity Conference:スマートビルの3分の1はマルウェアに感染――ビルセキュリティ最新動向 (2/3)

[高橋睦美,BUILT]

IT以上に複雑? 止められないOT/ICSの脆弱性管理

 日本でも徐々に、ネットワークとIoTを駆使し、交通や電力、水道といったインフラの最適な運用と質の高い生活サービスを実現する「スマートシティ」プロジェクトが打ち上げられ始めた。海外では一足先に、ロシア、インド、中国などで積極的に展開されているという。

 ただ「そこではセキュリティが二の次になっており、さまざまな攻撃が可能となっている。スマートシティのプログラムの一例に、クラウドを利用した電力使用量表示サービスなどがあるが、これはDDoSやMITM(中間者攻撃)、脆弱性を突いた悪意あるExploit(攻撃コード)といった既存の攻撃手法が適用できる」と、Kasperskyのシニアビジネスデベロップメントマネージャー、Alexey Lafitsky氏は指摘した。

 一方で、同社の別の調査ではOT/ICSにおけるセキュリティ対策の必要性は徐々に認識されつつあるという。この調査では、回答企業の87%はOT/ICSセキュリティのプライオリティを上げており、57%は既に予算を確保している。対策の実施率を見ても、ICS向けウイルス対策ソフトウェアの導入率は85%に至っており、ネットワークトラフィックモニタリングを実施している企業も半数に上った。

OT/ICSにおけるセキュリティ対策の必要性は徐々に認識されつつある OT/ICSにおけるセキュリティ対策の必要性は徐々に認識されつつある

 残る問題は「パッチ管理」だ。ITシステムにおいても、停止が許されない重要サーバなどでは脆弱性が発覚しても即座にパッチを適用するのが難しい。OT/ICSの場合はなおさらだ。

Kasperskyでインダストリアルサイバーセキュリティビジネスデベロップメントのヘッドを務めるGeorgy Shebuldaev氏 Kasperskyでインダストリアルサイバーセキュリティビジネスデベロップメントのヘッドを務めるGeorgy Shebuldaev氏

 Kasperskyでインダストリアルサイバーセキュリティビジネスデベロップメンとのヘッドを務めるGeorgy Shebuldaev氏は、「脆弱性のないパーフェクトなソフトウェアが存在しない以上、脆弱性管理、パッチ管理は非常に重要だが、ITに比べICSはパッチを当てるのが難しい。その事実を踏まえてセキュリティを実装し、運用していかなければならない」とした。

 また、サプライヤーやシステムインテグレータ、メンテナンス業者などさまざまなプレイヤーが関係する中、どのように管理を行い、いざというときに適切にインシデントレスポンスを回すかも課題だという。

 Kasperskyではこの課題を踏まえ、2つの新しいソリューションを発表した。

Copyright © ITmedia, Inc. All Rights Reserved.