公益インフラにサイバー攻撃、複数都市で停電も – ITmedia News
昨年からUSではOPCサーバーの脆弱性の問題がたびたび話題になって、警告も出ているんだけど、日本ではそれがほとんど話題にならない。まぁ話題にならないぐらいOPCが普及していないのかもしれないんだけど、話題にならない根本的原因にはオートメーション業界の人間のセキュリティに対する無関心がそこにはあると思う。
今までオートメーションの世界ではコントローラがデジタル化される中で、デジタルネットワークを使ってきたんだけど、たいていそれらは物理層から特殊なもので、そのベンダの技術者でもない限りクラック不可能なものが大半だった。
しかしながら現状はなし崩し的に一般的なIT機器やプロトコル、具体的にはEthernetとTCP/IPが使われてきていて、それまでの独自仕様のネットワークを急速に置き換えている。特にISA S100などは既存の無線ネットワーク技術をまとめて、工業用途で何をしなければいけないか整理をしただけのものであって、もともとの技術が持っているセキュリティリスクが工業用途レベルで回避されているわけではない。
つまり、これまでは独自の技術故に何もしなくても回避することができていたネットワークやシステムに対するクラックのリスクを、ITの世界で今行われているレベルで、オートメーションの世界でも、あるいはITの世界以上に強固にそれへの対策をしなくてはならないことに、多くのオートメーションの技術者が気付かないうちになってしまっているのだ。
今回のこの事件の報告は、こういった我々の準備不足を露呈させた一例に他ならない。
もはや使われている要素技術が同じである以上、ITとオートメーションの垣根などはなく、ITシステムで起こることはオートメーションのシステムでも起こるのだ。我々オートメーションの技術者もIT技術者と同様にITセキュリティに対す知識と技術を持ち合わせる必要がある。それもできるだけ早急に。
USでは政府主導で、いま以下のようなカンファレンスが行われている。
SANS Institute – SANS Process Control & SCADA Security Summit 2008
http://www.sans.org/scada08_summit/
ITセキュリティに疎い我々に対しては必要な啓もう活動だと思う。
コメント
JPCERT/CCによる制御システムワークショップ
JPCERT/CCによる制御システムエンジニア向けのセキュリティワークショップが…