報道によると,制御システムに感染するコンピュータウィルスが見つかったそうである。USBメモリー経由で大手ドイツメーカー製制御監視ソフトへ感染するそうである。以前から可能性は指摘されていたので驚きは少ない。しかし,実際の感染例が報道された事実は重い。

 制御用とは言え,最近の監視ソフトはWindowsやLinuxなどの汎用OS上に構築されている。大量に普及しているのでコストが安いだけでなく,動画,通信,データベースなどの最新の機能が使える点も魅力である。その意味でウィルス対策のために独自OSを採用するという選択肢はない。

 汎用OSは便利だが,数が多いので標的にされやすい。そして汎用OSに限らないが,ソフトはバグが付きものである。汎用OSの場合は,そのバグが公表されている。今回もWindowsの脆弱性(MS10-046)を利用しているそうである。以上の情報をもとに制御機器などのインフラ系の専用システムとウィルス対策の関係を考えていこう。

 まず言えることは,専用機器がインターネットに直接接続されていないことを理由にウィルス対策を講じない技術者は背任行為であることが分かる。定常時にインターネットから切断されていても,設置時や維持管理には外部機器と接続せざるをえない。今回はUSBメモリー経由であったが,維持管理にはメーカー持参のPCを接続する場合がほとんどである。もちろんメーカーは対策を講じているが,世の中には完全な対策など存在しない。

 桃源郷やユートピアなど善人ばかりが住む理想郷を夢見る人がいる。本当に善人ばかりなら,ユートピアは悪人にとっての理想郷であり,善人にとっての理想郷ではない。本当のユートピアには悪人を排除する免疫能力が必須である。その能力を維持するためには悪人が必須である。

 この考え方に沿うならば,専用機器のPCも常にアップデートして免疫力最高の最新版にしていく必要がある。ここで,また問題が生じる。誰がいつ,どのようにアップデート作業を行うかである。アップデートが公開されたということは,脆弱性も公開されたということである。できるだけ速やかにアップデートする必要がある。しかし,制御機器は24時間,365日稼働である。アップデートしている最中は監視制御が出来なくなる。しかも,監視制御PCが数千台規模にのぼる場合も多い。マイクロソフト社は,そのための支援ツールを提供しているが,十分ではない。

 十分ではない理由は,専用システムもマイクロソフト社以外のソフトウエアを使っているからである。これには主題の監視制御ソフトも含まれる。このソフトを作るときにマイクロソフト社のガイドラインを守って作っているケースと,独自の機能を使っているケースがある。前者でも,アップデートに伴って問題が生じる場合がある。後者においては,アップデートしてみなければ分からないケースがほとんどである。しかも,監視制御システム以外のソフトウエアが導入されている可能性も大きい。このような状況で,アップデートで停止,遅延,データの消失などの障害がでると24時間,365日稼働の専用システムでは致命的である。

 アップデートしなければ脆弱性を残し,アップデートすれば障害が起きる可能性がある。少し考えれば,アップデートしない選択となる。危険性は増大しているのに,目前の停止を回避するという道を選ぶ。保身である。そして,専用システムはインターネットに接続していないから安全だと主張される。だから,私は背任行為と呼んでいる。

 それでは,どうするか。それが解決すべき問題である。実は,専用システムにどのようなソフトがインストールされているか,ユーザーも,ベンダーも把握していない。まずは,それをバージョンも含めて把握することが大事である。そして,それらが互いに共存できることを確認しなければならない。その確認は,アップデートによって不具合が発生しないことも含む。

 こんなこと,ユーザーは面倒で出来ない。もちろん,ベンダーも自社製品のアップデート対応に手一杯で,他社製品を含めた信頼性の確認までは手が回らない。できない,できない,できない。実は,そこにビジネスが生まれる。だれか管理代行の仕事を始めませんか。クラウドの時代です。