先日,製造業XML推進協議会(MfgX)が主催した「MfgXフォーラム」が行われた。そこでパネルディスカッションのコーディネータを勤めた。このフォーラムは制御システムのセキュリティに焦点を当てたものであり,システムを使う側のユーザーとシステムを作る側のベンダーが集まって意見交換を行った。短い時間であったが大変有意義であった。
情報セキュリティを話題にすると,「ファイアウォールを設けています」とか,「制御機器はインターネットにつなげていません」と会話を打ち切る方がいる。これらは言い訳に過ぎないことをパネルでは確認した。
このような事業所は攻撃側からみれば美味しい標的である。ファイアウォールの中に入れば好き放題に荒らせるということである。同様にインターネットに接続されてないという制御機器も開発や維持管理のために接続のための外部ポートを持っている。筐体にポートが設置されていなくても,プリント基板や制御用ICにはポートが用意されている。そこにアクセスすれば,これも好き放題である。ファイアウォールもインターネット未接続も荒らされない理由にはならない。
むしろ,ファイアウォールは必須。その先の対策が議論すべきものである,ログをとる,パケットの監視,個人認証,トラップの設置などプロの対策は奥が深い。このような当たり前の対策の話もしないとは,自分で無防備を宣言しているのも同様である。
もっとも,セキュリティは話題にしないことが美徳。対策も隠すし被害も隠す。それが情報管理の鉄則と思っている方もいる。これも美味しい標的である。攻撃側は隠したものを掘り出すだけで仕事になる。天知る,地知る,子知る,我知る。身内は知っています。管理者である貴方は知っています。仲間を信じることは素晴らしいが,敵はプロ。脅して,賺して,騙して,秘密を暴きだします。このような現実に目をつぶることは,貴方と身内を危険に晒すだけのことです。それは仲間を信じることではなく,仲間への裏切り行為です。システムとして対策をとり,このような危険性に晒されている仲間を救うことが対策である。そして,この対策は,貴方自身への救済でもある。
さて,対策と攻撃はイタチゴッコである。新しい攻撃には新しい対策。新しい対策には新しい攻撃。つまり,攻撃と対策の最新事情を常に把握することが情報管理者の責務である。それならば,管理室に閉じ籠るっていては背任行為である。外に出て最新事情を収集することが貴方の仕事である。
仕事柄,そのような人に出会う機会も多い。中には,手の内を明かさず情報だけを得ようとする人もいらっしゃる。身銭を切らず,たかるだけの人である。このような人を善意の方は相手にしない。悪意の方は手玉にとる。欲があれば付け込みやすい。ほら今日も,悪魔が囁く。「貴方だけ特別,ここだけの話」。
暗くしたドアは破られてもわからない。明るく照らされたドアは泥棒も破りにくい。人目に晒し続けることが,最高の対策になることもある。二重鍵に,赤外線センサ,防犯の武器は数々あれど,まずは隣近所への声掛けが出発点。システムを使う側,システムを提供する側が集い,積極的に情報交換する場がなければセキュリティ技術は無用の長物になってしまう。そのような場が欲しい。そのような場を作っていきたい。
