【第3回】ビルシステムの環境変化と迫り来る脅威：「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説（3）（2/2 ページ）

本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。第3回は、ビルシステムに対して起こりうるセキュリティリスクについて検討していく。

[佐々木 弘志 ／ マカフィー，BUILT]

2．今後、ビルシステムに対して、どのようなリスクが考えられるのか？

　今後のビルシステムは、利便性を追求するなかで、ますます情報システムに近づいていくと考えられる。ということは、情報システムで起こっている脅威が、ビルシステムでも発生し得るということである。

　例えば、表1のホテルのカードキーシステムに感染したランサムウェアは、もともとはインターネットに接続された情報システムのWindows PCを対象としており、PCに感染して、データを暗号化し使用できなくした上で、解除するための鍵情報と引き換えに暗号資産などでの支払いを要求するマルウェアである。

　だが、このビルの制御システム（カードキーシステム）がインターネットに接続しており、かつシステムがWindowsで構成されていたことで、多額の金銭被害にあってしまった。

　従って、このようなケースは今後も増えると考えられる。また、Connected Industriesの実現に向けて、業界間のシステムの接続が進むことを考えれば、ビルシステムが攻撃を受けるリスクが高まると同時に、ビルシステムが他業界のシステムに対するサイバー攻撃の踏み台になるリスクも高まる。つまり、被害者どころか、加害者の一翼を担う事態になりかねないのだ。

ネット接続によりビルシステムの連携が広がることで、サイバー攻撃の侵入経路も増え、自社のシステムが被害者または加害者になることも

　以上、第3回は、本ガイドラインの2章を中心に、ビルシステムの環境変化とリスクについて紹介した。

　■ビルシステムを巡る環境変化は、どういうリスクにつながるのか？（2章のまとめ）

⇒　ビルの使用者に対する人的な被害（プライバシー侵害も含む）が発生し、訴訟なども含めて、ビルオーナーやビルシステム関係者の責任が問われる可能性がある。

　■今後、ビルシステムに対して、どのようなリスクが考えられるのか？

⇒　ビルシステムが、情報システム化するにつれ、ランサムウェア攻撃などにより、多額の金銭被害にあう可能性が高まる。また、業界間のシステム間の接続が進むにつれて、サイバー攻撃の被害者となるだけでなく、知らないうち間接的に加害者となることも起き得る。

　このようなビルシステムの環境変化とリスクから、ビルシステムに対するセキュリティ対策の必要性が理解できたのではないだろうか。では、具体的にどのように進めればよいのか。次回は、本ガイドラインの3章である「ビルシステムにおけるサイバーセキュリティ対策の考え方」を整理して、紹介する。

著者Profile

佐々木 弘志／Hiroshi Sasaki

マカフィー サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP。制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産業省 情報セキュリティ対策専門官（非常勤）、2017年7月からは、IPA産業サイバーセキュリティセンターのサイバー技術研究室の専門委員（非常勤）として、産業サイバーセキュリティ業界の発展をサポートしている（2019年10月現在）。