前回は米国の重要インフラへの取り組みの歴史と、官民での情報共有の取り組み、これに対応した日本の取り組みを紹介した。最終回となる今回は、重要インフラを構成するシステムのセキュリティー強化への取り組み、サイバー戦争を見据えた米国の取り組み、それぞれに対応する日本の施策を説明する。

制御システム・セキュリティー強化への取り組み

 制御システム製品の問題点や脆弱性は、DHS配下の制御システム専門のインシデント対応チーム「Industrial Control Systems Cyber Emergency Response Team(ICS-CERT)」に報告された場合、一般に公表される前にベンダーに連絡し、対策猶予期間を設けている。しかし、諸事情からベンダーが対策に積極的でないケースもある。ICS-CERTでは、ベンダーの対策を促すとともに、事業者自身によるリスクヘッジを可能にするため、2012年7月に、ベンダーの対応姿勢によっては、対策の如何に関わらず、ベンダーへの連絡から45日経過以後に公表することもある旨、脆弱性情報の公開方針を見直している(関連情報)。しかし、Stuxnet以降、ゼロデイ脆弱性(これまで知られていなかった未知の脆弱性)の価値が大きく増し、発見者が他人に販売するケースが増えているといわれている。買い手は、サイバー犯罪者や、諜報活動や産業スパイ活動のために高額で買い取る国や企業である。誰かが発見するのを待ち、ベンダーが対策するのを待つ以上の、能動的な取り組みが必要となっている。

図1 Sophiaによる通信の可視化イメージ (出典:英Oak Ridge National Laboratory)
図1 Sophiaによる通信の可視化イメージ (出典:英Oak Ridge National Laboratory)
[画像のクリックで拡大表示]

 米国が重要インフラに対するサイバー攻撃との戦いの中心と位置付けるアイダホ国立研究所(INL)では、「National SCADA Test Bedプログラム」が運営されており、制御システム製品の脆弱性の検証やセキュリティー研究を行っている。大掛かりな制御システム環境を再現するのは個々の研究者やセキュリティー・ベンダーには難しいため、こうした施設は有益である(外部の関連情報)。また、INLでは制御システム向けのセキュリティー・ツールの開発も行っている。2012年10月にリリースされた「Sophia」は、制御システム向けの監視ツールだ(図1)。SCADA(制御監視)システムを構成する機器間の通信を解析して平時の通信パターンを記録し、それをホワイト・リストとして使用する。マルウエアへの感染や、攻撃者による不正な操作により平時の通信パターンから逸脱した通信パターンが発生するとこれを検知し、警告を発して確認を促す(図2)。

図2 Sophiaによる警告イメージ(出典:INL)
図2 Sophiaによる警告イメージ(出典:INL)
[画像のクリックで拡大表示]

偽造部品対策やバックドア対策も重要

 軍事システムを中心に取り組みが進んでいるのが、重要部品や機器の模造品対策と、バックドアへの対策だ。軍や政府機関に納入されるマイクロチップなどには、サプライチェーンの途中で大量の模造品が混じっているといわれ、バックドアを仕込んだ模造品が重要システムに使用される可能性が警戒されている。同様の懸念として、下院の特別委員会が、中国の通信機器大手Huawei Technologies社とZTE社が中国政府の指導によって、製品にバックドアを仕込んでいると糾弾したのは記憶に新しい(外部の関連情報)。2012年12月、国防総省(DoD)の国防高等研究事業局(DARPA)は、軍への納入システムにバックドアやマルウエアが存在しないことを確認する技術や手法の開発を目指す「Vetting Commodity IT Software and Firmware(VET)プログラム」を立ち上げ、サプライチェーンのセキュリティー確保に積極的に取り組む姿勢を示している(外部の関連情報)。

 民間の場合、最終的な脆弱性対策の実施は、重要インフラ事業者に委ねられることになる。制御システムの個々のコンポーネントやデバイスに脆弱性があっても、適切な多層防御や運用でリスクを軽減することも可能だ。重要インフラ・システムへのサイバー攻撃がメディアで盛んに報じられる中、重要インフラ事業者に対しても、一定のセキュリティー基準への準拠を求める動きが活発化している(外部の関連情報)。しかし、法的義務づけには業界の強い反発や政府による過度の介入を懸念する声も絶えない。一定のサイバー・セキュリティ基準と任意のコンプライアンス制度を整備し、税の優遇措置や訴訟からの免責などをインセンティブに、制度への参加を促す方向で今後も調整が続くと見られる。