前回は、制御システムを扱っている現場において実施を勧めたい制御システムのセキュリティー対策について解説した。今回は、制御機器(ソフトも含む)のベンダーの役割について取り上げる。

注意事項をユーザーに伝える義務

 制御システムがサイバー攻撃の標的となる以前は、制御機器の設計者は、セキュリティー対策を製品に施す思考はなかった。ところが、「Stuxnet」というマルウエア(悪意のある不正なソフトウエア)による攻撃手法を知って、「これからはセキュリティーのレベルを上げた(セキュア化した)制御機器でなければならない」と意識した制御機器の設計者が少なからず出てきたと思われる。

 では、制御機器のセキュリティーに関して、制御機器ベンダーはユーザーに対してどのような役割を担っているのだろうか。まずは、この点について一緒に考えてみよう。

 WindowsをOSとして使用した制御機器でも、セキュリティーに関する設定をしないまま現場で使用されている機器は多い。また、中にはセキュリティーの設定レベルを上げると動かなくなる制御機器も存在する。サイバー攻撃の標的にされたり、その巻き添えになったりすることがないという保証がないにもかかわらず。

 制御システムと業務ネットワークの間にファイアウオールを設置して、USB(Universal Serial Bus)の使用を禁止するユーザーもいる。しかし、それらは制御システムへの侵入を防ぐ際には効果はあるが、侵入された後には無力といえる。侵入口はUSBだけではない。制御システムに侵入された後でも被害を最小限に食い止めるためには、制御機器側のセキュリティーのレベルを上げておくなどの対策が必要となる。

 従って、制御機器ベンダーとしてサイバー攻撃に弱い制御機器を供給している場合は、少なくとも、制御機器の取り扱い上の注意事項をまとめてユーザーへ伝える義務はあると思われる。また、「装置に組み込まれる制御機器であって直接ユーザーに提供しているものではない」と言うのであれば、装置設計者に向けて「設計上の注意事項」もしくは「取り扱いガイドライン」を提示すべきだろう。