“ICSCoE”の育成プログラム修了メンバーが語る、ビルのセキュリティが抱える課題と対策には何が必要か?:ビルシステムにおけるサイバーセキュリティ対策座談会【前編】(4/5 ページ)
ICSCoE(Industrial Cyber Security Center of Excellence:産業サイバーセキュリティセンター)は、IPA(情報処理推進機構)傘下の組織として、社会インフラや産業基盤のサイバーリスクに対応する人材や組織、技術などの創出に取り組んでいる。今回、そのICSCoEの中核人材育成プログラムで、ビルシステムのセキュリティに関して学んだメンバーが講師を交え、BUILT主催の座談会を開催した。2019年6月に経済産業省が公開したガイドラインをベースに、セキュリティ対策がなぜ必要なのか?導入障壁となっているものは何か?などを多面的に論じた座談会の模様を前後編の2回にわたってお届けする。
さまざまなステークホルダーが出入りするビル特有の抜け穴
「サイバー攻撃では、対策が遅れると横展開されやすい」ALSOK・熊谷氏
綜合警備保障(ALSOK)開発企画部 情報セキュリティサービス推進室 主任の熊谷拓実氏は、横展開されやすいというサイバー攻撃ならではの特性を問題点とした。「実際に現場で異常が起こったとき、対応する者がこれはサイバー攻撃によるものだという認識がないまま対処が遅れ、復旧までに時間を要することにより、攻撃範囲を拡大され、さらなる2次被害につながりかねない」(熊谷氏)。
「ビルのライフサイクルの中でステークホルダーが多く、全体を把握できない」NTTコミュニケーションズ・井上氏
NTTコミュニケーションズの井上氏は、ビルに関してはステークホルダーが多く、全体を管理する人がいないことが壁と回答。「ビルにどんな資産が点在しているのか、分散して配置されているのか、集約されているのかも把握できている人がいない」(井上氏)。
さらに、古いビルに導入された機器が現代の高度化したサイバー攻撃に対応できていない実態も問題視。ログが残らない(あるいは痕跡管理が弱い)古い機器を使い続けているが故に、攻撃を受けても、トレースができない。このため、「ビルでサイバー攻撃を受けた時に復旧させたり、原因究明させたりするのが難しくなっている」(井上氏)。
「課題を解決するソリューションが成熟していない」森ビル・佐藤氏
ビルオーナーの立場である森ビル 情報システム部 業務グループ 課長の佐藤芳紀氏は、課題を解決するためのツールやソリューションが成熟していないことを挙げた。
加えて、システム導入時の検証環境が無いことも指摘。「検証する機会がほとんどないので、どうしても導入に尻込みする。採用したことによるマイナスの影響が見えないと採用のハードルとなる」(佐藤氏)。
さらに、これまで何人かが触れたように、セキュリティに対する共通のレファレンスがないことや人材不足も大きな障壁とした。
ネットからビルシステムを攻撃、IoT機器をターゲットに脅威は増える傾向に
各メンバーから現在の課題が議論された後は、実際に発生したセキュリティ被害の実例が紹介された。
まず、ダイキン工業の武輪氏が、2016年11月にフィンランドの集合住宅で発生した暖房給湯システムの被害例を解説。2016 年11 月、フィンランド・ラッペーンランタのビルが「DDos攻撃(分散した拠点から大量のサービス要求を行うことで、対象のサービスをダウンさせる攻撃)」を受け、暖房が停止。給湯温度の調節や制御をインターネットを介して行うシステムが攻撃され、外気温マイナス2 度の環境で、数時間にわたって暖房が利用できない状況が1週間にもわたって続いた。
NTTコミュニケーションズの井上氏によると、NTTコミュニケーションズの井上氏によると、フィンランドでは同じような遠隔制御の仕組みが他にも存在していたとのこと。つまり、攻撃者はその気になれば、多くの拠点でシステムをダウンさせることができたことになる。
日本でも、業務効率化や人手不足のためにビルや住宅の設備を遠隔で制御するシステムが普及している。しかし、セキュリティに穴があると、リモート機器を突破口にして、エレベーターを止めたり、照明を全部オフにしたりするなどの悪意ある操作が可能になる。
武輪氏は「業務効率化という観点では、IoTの利用はどんどんやっていかなければならない」としながら、「同時にセキュリティも不可欠だ」とコメントした。
フィンランドで起きた事件を知らせる現地報道記事 出典:http://metropolitan.fi/entry/ddos-attack-halts-heating-in-finland-amidst-winter
Copyright © ITmedia, Inc. All Rights Reserved.