前回の記事では「サイバーセキュリティの脅威」について取り上げました。
今回の記事では、実際のセキュリティ対策について考えながら、どんな障壁があるのかを述べていきます。
セキュリティ対策を阻む要因
セキュリティ対策の障壁になっている要因は主に4つあります。
1:攻撃者の立場や目的が多様で複雑化している
「情報セキュリティの10大脅威」でも挙げたように、技術革新に伴って脅威も年々変化しています。
攻撃者の目的や手段が多様になって複雑化してきたことで、セキュリティ対策もさまざまな場面をカバーする必要が出てきています。そのため、何から着手すればよいか判断しづらくなっているという状況があります。
2:セキュリティ対策によって本来のユーザビリティを損なう
セキュリティ対策としてアンチウイルスソフトを入れた場合、ソフトウェアの動きが遅くなり重くなることがあります。
実装コードが肥大化してシステムのパフォーマンスが低下するため、セキュリティ対策に対して否定的な印象を持たれることもあります。
3:セキュリティ対策費を投資とみなしている
セキュリティ対策は、インシデントが発生しない限りほとんど意識されません。
何か問題が発生しない限りユーザーはセキュリティ動作を確認することがないため、動作するかしないかも分からないものに費用をかけるという印象を持たれるケースがあります。
「とりあえずやっておく投資」というよりも、「危機管理をして最悪の状況を防ぐ保険」という考え方がいいでしょう。
4:そもそもセキュリティ技術の敷居が高い
専門家が不在の場合、セキュリティ技術の敷居が高いと思われていることがあります。
本来セキュリティにの知見を持ち合わせていない担当者が必要に迫られて対策をしなければいけないケースでは、攻撃者の顔が見えないことで、必要以上にセキュリティ対策を難しく捉えてしまうことがあります。
組込み分野におけるセキュリティ課題
上記で挙げた4点は、組込みデバイスに限らず一般的なセキュリティの話ですが、組込み分野ではそのような情報セキュリティにおける体制が整っていません。
セキュリティ対策に障壁要因があることよりも、組込み分野でセキュリティの体制がないことのほうが大きな問題と言えるでしょう。
制御システム10大脅威
「産業用制御システム(ICS)のセキュリティ -10大脅威と対策2022-」
下記は、IPA 独立行政法人 情報処理推進機構が発表した「産業用制御システムのセキュリティ -10大脅威と対策 2022-」です。
日本国内の産業用制御システム保有事業者のセキュリティ対策を促進するために、ドイツ連邦政府 情報セキュリティ庁(BSI)が作成したものをIPAが許可を得て翻訳しています。
| 産業用制御システムのセキュリティ 10大脅威(2022年) | 2019年からの傾向 |
| リムーバルメディアや外部機器経由のマルウェア感染 | → |
| インターネットやイントラネット経由のマルウェア感染 | ↑ |
| ヒューマンエラーと妨害行為 | → |
| 外部ネットワークやクラウドコンポーネントの攻撃 | ↗ |
| ソーシャルエンジニアリングとフィッシング | → |
| DoS/DDoS攻撃 | → |
| インターネットに接続された制御コンポーネント | ↗ |
| リモートメンテナンスアクセスからの侵入 | ↗ |
| 技術的な不具合と不可抗力 | → |
| サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性 | ↑ |
※産業用制御システムにとって最も危険度の高い10種類の脅威を順不同で列挙しており、脅威の順序は、1位~10位といった順位を表しているものではない。
出典:IPA 独立行政法人 情報処理推進機構「産業用制御システム(ICS)のセキュリティ -10大脅威と対策2022-」(出典元の表を基に弊社にて一部加工)
ランキングから見えること
制御系システムということもあり、特定のシチュエーションに言及されているものが多くあります。
また、「インターネットやイントラネット経由のマルウェア感染」「外部ネットワークやクラウドコンポーネントの攻撃」「DoS/DDoS攻撃」など、表の赤字で示した脅威のように、トポロジやプロトコルはさまざまであってもネットワークに接続する状況が多くあり、制御系システムがネットワークへ接続すること自体が脅威となっている点も特徴です。
ネットワーク技術と制御系システムにおける脅威は密接に関係しており、情報セキュリティでも繰り返し注意勧告されているポイントです。
次の記事では、組込み機器におけるセキュリティ対策について考えていきます。
