産業機器の制御システムそのものを標的とした攻撃が増えている。米General Electric社の事業横断的な組織であるGE DigitalでIndustrial Cyber SecurityのGlobal Directorを務めるRajiv Niles氏によると、2010年以降、産業機器を直接狙うサイバー攻撃が増加しているという(図1)。きっかけとなったのはイランの原子力施設を攻撃し、同国の原子力施設に被害を与えた「Stuxnet(スタックスネット)」である(図2)。2016年7月7日に東京都内でGEジャパンが開催した記者発表会で同氏が語った。
しかも、攻撃を受けても発見されない。「インフラ関連の機器や生産設備などの産業機器の制御システムはマルウエアに感染してから検知されるまでに272日かかる。一方、ITシステムでは感染から平均して24時間以内に検知される」(Rajiv Niles氏)という。
同氏は「産業システムへの攻撃は表沙汰になることは少ない。ほとんどの企業が攻撃を受けても発表しないためだ」と語る。しかし、確実に攻撃の被害は増えている。例えば、2015年にウクライナで送電システムを狙ったサイバー攻撃が発生、23の変電所がダウンしたという。
産業機器の制御システムはITシステムと比較して、サイバー攻撃の対策が取られていないことが多いという。「産業機器を運用している組織の中の66%がサイバー攻撃に対して十分な対策ができていない」(同氏)。その理由の1つが、ユーザーが把握していない産業機器のネットワークへの接続である。例えば、保守やソフトウエアの更新時に一時的にネットワークに接続した際の接続の切り忘れや、業務システムなど他のシステムとの連携時にネットワークに接続している場合がある。2つは、産業機器を扱う現場の当事者意識の欠如である。サイバー攻撃に対して、責任はIT部門や外部の専門業者の責任であるとする現場が多いようだ。
