フィルター型の手法による防御のイメージ

デジタルデータを活用したスマート工場化が進んでくると、心配になるのがセキュリティ対策です。個人のPCにはセキュリティソフトを入れてファイアーウォールで防御しますが、工場でのセキュリティはどうなっているのでしょうか。

最近、工場の大きなセキュリティ被害のニュースが相次いでいます。主には、ランサムウェアと呼ばれる身代金要求型ウイルスがネットワークやUSB経由などで侵入し、感染したPCをロックしたり、ファイルを暗号化したりすることで使用ができなくなったのち、元に戻すことと引換えに「身代金」を要求する不正プログラムによる被害です。感染することによってPCの操作ができなくなり業務停止、PCのファイルが暗号化され利用できなくなる、または身代金を払った場合は金銭的な被害といった影響がでてしまいます。

工場では大量のデータが生まれるエッジ層に対してこれまで外からのアクセスを遮断していましたが、IoTによってデータをクラウド層にあげたり、複数の拠点でデータ共有したり、ラインの状況を外部から監視したりと工場外とのデータ連携が重要になりました。しかしそれにより機器の脆弱性を利用した攻撃が増加し、ある工場では感染によって機器が制御できなくなったことで操業停止や生産性の低下、それによって数十億円規模の損失を出すといった事例が頻繁にでてくるようになりました。

不正アクセスが行われてしまう構造的な原因の一つには、メーカーのICT部門が製造現場のネットワークや通信環境に精通しておらず、データセキュリティを包括して監視できていないということがあります。製造現場では、(1)既存設備に影響しないシステムを組まなくてはならない、(2)古くてアップデートできない端末が多数ある、(3)機器の保守用持ち込み端末(USBメモリなど)が必須といった環境面での独特の課題があるにもかかわらずこれがICT部門と連携できていないのです。

これを解決するために、通常は工場内でのセキュリティ対策として、感染・被害拡大を防ぐ複数の手法が用いられています。具体的には、PC、サーバー、コントローラ、USBなど機器とそれをつなぐポイントに対して複数のフィルタ(DoS攻撃防御、ファイアーウォールでのIPアドレス通信制御、プロトコルフィルター、IPSでの脆弱性攻撃検知/ブロック)などをかけていくことで、正常な通信によるアクセスのみを通すセキュリティデバイスを構築して不正なアクセスを防いでいきます。このフィルタ型のやり方であれば、特定のポイントに偏った強固な防御を設ける必要がなく、既存設備のネットワーク設定を変更せずにセキュリティを強化することができるようになります。

当社が推進する工場自動化+デジタルデータ活用のソリューション「i3-Mechatronics」では、セキュリティソフトに精通したパートナーと連携して製品検証を実施し、特定の機器・環境下での結果でコントローラやサーボアンプなどの機器でも正常に動作することが確認されています。