前回述べたように、インターネットに接続されたすべての機器が攻撃の脅威に曝されている。組み込み機器や制御システムも、ネットワークへの接続機能を持つものが普及しており、セキュリティー研究者の脆弱性の調査対象となっている。
また、本連載の第1回に述べたように、公表された脆弱性情報の統計によると、組み込み機器や制御システムの脆弱性は、悪意のあるコードの実行や情報漏えいにつながる危険性が高いものが多い。また、機器が備えるWebインタフェースからも、悪意のあるコード実行や情報漏えいにつながる脆弱性が多く発見されているため、ネットワーク接続された機器を利用する場合はセキュリティーを十分考慮しなければならない。
今回は、組み込み機器や制御システムを守るにはどうすれば良いか、特に脆弱性対策に絞って考えたい。もちろん、セキュリティー対策として実施すべき項目は多岐にわたるため、企業の場合はISMS(情報セキュリティー・マネジメント・システム)などを参考に組織としてセキュリティー対策に取り組む必要がある(参考資料:IPA「制御システムにおけるセキュリティマネジメントシステムの構築に向けた解説書」(外部リンク))。
対策を考える前にまず把握から
組み込み機器や制御システムを脅威から守るためには、防御対象となる機器やネットワークについて正確に知っておく必要がある。その上で、セキュリティー確保の方針や実施計画を立てて日々、セキュリティーの維持に努めなければならない。この際、現地に行かなくても速やかに現状が把握できるように事前に文書化しておく必要がある。まずなくてはならない情報は以下の二つだ。
ネットワーク構成情報
例:ネットワーク構成図、IPアドレスと機器のリスト、ファイアウォールによるアクセス制限やルータのルーティングなどのネットワーク機器の設定情報
システム構成情報
例:ベンダー名、製品名、型番、バージョン、ベンダーや保守業者の連絡先、アカウント情報、設定情報
環境の把握により、脆弱性対策を含むセキュリティー対策を行う対象が明確になる。思わぬ箇所を攻撃されて「想定外だった」と言うことがないようにしておきたい。
