前々回、前回と、制御システムのセキュリティー対策における制御システム設計エンジニア(制御システムエンジニア)の役割について解説した。最終回となる今回は、制御システムのセキュリティー対策の妥当性を確認する人材の必要性と、そのための資格(ライセンス)として整備が望まれる「制御システムセキュリティアセッサ」について紹介する。

対策の妥当性を確認する人材の必要性

 制御システムのセキュリティー対策は、情報システムのセキュリティーに詳しい情報システム部門に任せればよいという人がいる。それは、コンピュータ・ウイルスとマルウエア(悪意のある不正なソフトウエア)の違いや、情報システムにおけるセキュリティー管理システム(ISMS:Information Security Management System)*1と制御システムにおけるセキュリティー管理システム(CSMS:Cyber Security Management System)の違い、情報を搾取するマルウエアの攻撃にあった時と制御システムを攻撃するマルウエアの攻撃にあった時の対処の違いを理解していないからである(「情報セキュリティーと制御システム・セキュリティーに関する情報取得に役立つWebサイト」参照)。また、そうしたことを理解していないと、マルウエアによる攻撃を受けても、「ウイルスが侵入した」という誤った報告がなされ、いつものことだと流されてしまうリスクがある。

*1 ISMS(Information Security Management System) 組織の情報資産を適切に管理し、それらの完全性や気密性、可用性を維持・改善していくための仕組みのこと。

*2 CSMS(Cyber Security Management System) 制御システムで扱う情報資産を適切に管理し守るだけではなく、制御システムが対象とする生産ラインやプラントの操業を可能な限り維持し、それらが停止した場合は早急に普及できるようにする仕組みのこと。

 これまでは往々にして、そうしたことを学べる機会がなく、説明できる者も身近にいなかった。だから、そうした状況になっていることはある面では仕方がない。しかし、それを今後も仕方がないで流してしまえば、いずれ多大な被害を被る恐れがあることを忘れてはならない。