[技術解説]

IoTや重要インフラをサイバー攻撃から守る、米国で採用広がる「データダイオード」とは?

2016年9月5日(月)上原 義文(富士通アドバンストエンジニアリング) 木野 雅之(富士通アドバンストエンジニアリング)

原子力発電所や化学プラント、ガスの貯蔵施設、航空管制設備など、いわゆる重要インフラのサイバーセキュリティ対策が急務だ。万一、破壊や乗っ取りにあえば人命に関わる事態を招くからである。セキュリティだけに決め手があるわけではないが、「データダイオード」というソリューションが新たな手段の1つとして注目を集め、米国では普及し始めている。それは一体、どういうものなのか。専門家が解説する。(IT Leaders編集部)

 2009年から2010年にかけて、イランの核施設にあるウラン濃縮用遠心分離機が運転停止となる事件が発生しました。「Stuxnet(スタックスネット)」と呼ばれるコンピューターウィルスのサイバー攻撃を受けたためです。分離機の異常動作や施設の乗っ取りといった深刻な事態にこそなりませんでしたが、この事件は社会インフラへのサイバー攻撃が現実の脅威であることを広く認識させる契機になりました。

 その後も、重要インフラ/社会インフラをターゲットにしたサイバー攻撃が続発しています。2011年のブラジルの発電所の制御システム運行停止、2012年の米ミシガン州の天然ガスパイプラインや、サウジアラビアの石油会社におけるワークステーション3万台へのサイバー攻撃、2013年の韓国の政府機関・金融機関へのサイバー攻撃、2015年のトルコ、2016年にはウクライナで起きた大規模停電などです。

汎用OSの採用と外部接続などで攻撃の可能性が高まっている

 プラントや工場、電力や交通などの設備といった社会インフラには、ほぼ例外なく「制御システム」と言われる心臓部があり、停止することなく機器を制御・監視しています。従来、この制御システムは外部とは接続されない“クローズ”した環境にあり、サイバー攻撃を受け難いと考えられていました。イランの核施設も同様で、分離機の制御システムはインターネットから隔離されていました。

 しかし制御システムにおいてもWindowsなどの汎用OSの採用が進み、さらにはIoT(Internet of Things:モノのインターネット)化の動きに伴ってネットワーク接続が広がっています。サイバー攻撃の標的になる可能性が増加しているわけです。事実、StuxnetはUSBメモリー経由で感染し、しかもWindowsの脆弱性を突いてExplorerで表示しただけで感染する能力を持っていました。「社会インフラの制御システムはクローズした環境なので安全」という考え方は捨て去る必要があるのです(図1)。

図1:社会インフラへのサイバー攻撃が広がっている(出所『産業制御システムへのサイバー攻撃 実態調査レポート第二弾』、トレンドマイクロ、http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20130925055704.html)図1:社会インフラへのサイバー攻撃が広がっている(出所『産業制御システムへのサイバー攻撃 実態調査レポート第二弾』、トレンドマイクロ、http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20130925055704.html)
拡大画像表示

 ではどうすればいいのでしょう?様々な対策があり得ますが、以下では、そのシンプルさや確実さから欧米で採用が広がっている「データダイオード」と呼ばれるセキュリティ対策について解説します。

データダイオードの片方向通信の仕組みが注目される

 社会インフラへのサイバー攻撃に対するセキュリティアプローチは大別して、(1)外部からの侵入をソフトウェアで「論理的に遮断」する方法と、(2)ネットワークを「物理的に切り離す」方法があります。論歴的な遮断で広く使われているのがファイアウォールと呼ばれるソフトウェアです。厳密に設定すれば侵入される可能性を低減できますが、現実には設定の抜け道をくぐって侵入されており、破られてはセキュリティパッチを当てるイタチごっこが続いています。

 物理的にネットワークを完全に切り離す方法は、論理的な方法と比べ単純で効果的です。しかし情報の移動や制御をどうするかという問題が生じます。セキュリティを守ることはできても、通信を単純に遮断することは大きな副作用を伴います。しかもネットワークから遮断したとしても前述のStuxnetのように、USBメモリーなどの可搬媒体を経由したウィルス感染のリスクがあります。この時、管理する上位のネットワークからは現場サイドの制御システムが見えませんから、発見が遅れる問題も生じてしまいます。

関連記事

IoTや重要インフラをサイバー攻撃から守る、米国で採用広がる「データダイオード」とは?原子力発電所や化学プラント、ガスの貯蔵施設、航空管制設備など、いわゆる重要インフラのサイバーセキュリティ対策が急務だ。万一、破壊や乗っ取りにあえば人命に関わる事態を招くからである。セキュリティだけに決め手があるわけではないが、「データダイオード」というソリューションが新たな手段の1つとして注目を集め、米国では普及し始めている。それは一体、どういうものなのか。専門家が解説する。(IT Leaders編集部)

PAGE TOP