“ICSCoE”の育成プログラム修了メンバーが語る、ビルのセキュリティが抱える課題と対策には何が必要か?:ビルシステムにおけるサイバーセキュリティ対策座談会【前編】(5/5 ページ)
ICSCoE(Industrial Cyber Security Center of Excellence:産業サイバーセキュリティセンター)は、IPA(情報処理推進機構)傘下の組織として、社会インフラや産業基盤のサイバーリスクに対応する人材や組織、技術などの創出に取り組んでいる。今回、そのICSCoEの中核人材育成プログラムで、ビルシステムのセキュリティに関して学んだメンバーが講師を交え、BUILT主催の座談会を開催した。2019年6月に経済産業省が公開したガイドラインをベースに、セキュリティ対策がなぜ必要なのか?導入障壁となっているものは何か?などを多面的に論じた座談会の模様を前後編の2回にわたってお届けする。
「ビルシステムは旧式OSで運用されていることが少なくない」
次に、日本原子力防護システムの田口氏は、オーストリアのホテルのカードキーシステムにランサムウェアが感染し、予約や会計のシステムまで被害が広がった事案を取り上げた。
このトラブルによって、新しいカードキーを発行することもできなくなり、宿泊客が部屋に入れないまたは閉じ込められるという事態に陥った。最終的に、ホテル側が攻撃者に“身代金”を支払うことで、システムを復旧させたという。
このホテルは4つ星ランクの高級ホテルだったが、風評被害も含めると、将来も含めた資産価値に甚大なダメージを負ったことになる。
オーストリアの4スターホテルで発生したランサムウェアによるハッキング事案を報道する記事 出典:https://edition.cnn.com/2017/01/30/europe/hackers-lock-out-hotel-guests-trnd/index.html
この件に関してNTTファシリティーズの長田氏は、制御システムに使われているIT機器の古さを要因とした。ランサムウェアは基本的にITシステムのマルウェア。しかし、ビルの制御システムにも当たり前のように旧式のWindowsが入っている環境では、ITシステムを狙ったマルウェアに制御システムも感染する可能性が高くなるという。
制御システムで使われているOSは、バージョンが古いものがそのまま使い続けられることが少なくない。長田氏は「ビルの制御システムとITシステムのライフサイクルは全然違う」とし、「そういったところも制御システム全般の対応を困難にさせている」。
さらに、NECの三澤氏は、ちょうど家庭でスマートスピーカが普及しているような状況がビルでも増えつつあることを説明。中央に多くの機器を操作できる“翻訳機”的な装置を置くと、それに対する指示だけで、ビルの設備が操作できるようになる。一見便利に思われるが、このような脆弱(ぜいじゃく)な統合管理環境では、ここを破られるとビル全体の設備が簡単に乗っ取られる危険性がある。
セキュリティの観点から見た、ビルシステムの特徴とリスクポイント
NTTコミュニケーションズの井上氏によると、ビルにおけるセキュリティのリスクポイントは大きく4つある。
1つ目は、インターネットの利用によるものだ。ビルにおいては顕著だが、運用の効率化とコストダウンを目指して、遠隔地からの保守や監視などのデマンドが増えてきている。特にビルは、情報系やIoT系のネットワークから、隣接している制御系のネットワークに入り込みやすい。
2つ目は、物理的なアクセスによってセキュリティが破られる場合だ。ビルは、規模が大きくなるほど、多くの人がやってくる。入居者やテナントの客はその代表だが、保守や荷物の配達など、枚挙にいとまがない。ここで問題なのは、重要な制御機器がある部屋の前まで、割と簡単に到達できるビルが多いことだ。実際に制御機器に触れられれば、ウイルスを仕込むことも破壊することも短時間でできてしまう。
3つ目は、制御コンポーネントや制御機器に使われているチップそのものがウイルスに感染しているケース。サプライチェーン攻撃とも呼ばれるものだが、チップの供給元のセキュリティレベルが弱く、その時点でチップが汚染されていることがある。当然、汚染されたチップが搭載されている制御機器には信頼性がない。
最後は、“ソーシャルエンジニアリング”だ。ビルでいえば、制御機器のオペレータや警備担当者などに対して、不正や侵入などの操作を仕向ける行為だ。悪意ある者が物理的に侵入を試みるのであれば、作業服を着て緊急のメンテナンスを装えば、警備を突破できてしまう可能性がある。
ビルの場合、大規模なビルほど物理アクセスのポイントも増える。また、出入りする人も増えるので、個々の対応が手薄になることも考えられる。
これらのリスクポイントに対し、井上氏は「侵入されるところで遮断する」のが基本だという。ただ、ビルの場合は制御システムや機器が点在していることが多い。ここにビルのセキュリティ対策を複雑にさせている原因がある。
悪意のないユーザーが大きな脆弱性を作る場合も
この他、日本原子力防護システムの田口氏からは、悪意のない一般のユーザーによる行動が危険性をもたらすことも示された。
例えば、テナントの店員が暇つぶしにビルのネットワークにWi-Fi機器を接続すると、ちゃんとセキュリティを考慮していたネットワークに突如Wi-Fiというウイークポイントが出現することになる。
モデレーターの佐々木氏からは、海外の工場がランサムウェアに感染して止まった例が示された。この事例では、工場の周囲にある自販機のベンダーが工場のLANに自販機用のWi-Fiを間違えて接続し、そのままにしたことが原因だった(出典:https://www.hackread.com/how-a-coffee-machine-infected-factory-computers-with-ransomware/)。
この後、NTTファシリティーズの長田氏が、IoTとクラウドによって情報を管理しようとする昨今の動きに対し、「便利になる反面、インターネットにつなぐところはしっかり考えた上でつながないとリスクを生んでしまう可能性がある」ことが示された。(企画&構成:BUILT編集部 石原忍)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ビルへのサイバー攻撃を機械学習で検知、パナソニックが森ビルと共同実証
パナソニックがビルオートメーションシステムのオープン規格として広く利用されている「BACnet」向けのセキュリティ技術を開発。機械学習を利用し、従来は高精度な検知が難しかったビルへのサイバー攻撃を検知できるのが特徴だという。
“Society 5.0”時代 ビル管理には何が求められるか?
ウェブサイトに掲載した特集記事を、印刷しても読みやすいPDF形式の「電子ブックレット」に編集しました。会員の皆さまに無料でダウンロードしていただけます。今回紹介するのは、「“Society 5.0”時代 ビル管理には何が求められるか?」です。
横向き・後ろ向きでも“人物照合”が可能に、ビルセキュリティに貢献
NECは、顔がカメラに一部分しか映っていなくても、映像や画像に記録された全身像から人物を高精度にマッチングさせる「人物照合技術」を開発した。
ALSOKが構想する都市空間全体のセキュリティ「現代版火の見やぐら」、五輪に向けた警備ロボの活用も
ここ最近、ビルマネジメント業界で人手不足が深刻化するなか、それを補う清掃や警備といったサービスロボットが大規模商業施設やオフィスビルなどに導入され始めてきている。警備業界大手のALSOKでは、ロボットやIoT機器をいち早く採り入れ、従来の施設警備だけでなく、ビルの綜合管理を一体的に行う取り組みを進めている。
ビルのセキュリティシステムを統合・管理するサービス提供開始、ジョンソンコントロールズ
ジョンソンコントロールズは、2016年に統合した防火・防災、セキュリティシステムのグローバルプロバイダー「タイコ」のセキュリティ事業を、ビルオートメーション(BAS)と組み合わせた形で、サービス提供を開始した。