ビジネスコラム

ビルのIoTセキュリティで基本となる対策とは

2018年8月22日

　前回は、IoT時代におけるビルのセキュリティリスクについて紹介しました。時に多額の損失を生み出し、時に事業継続を困難にするサイバー攻撃に対し、私たちはどのように対抗すればいいのでしょうか。ビルのIoTセキュリティ対策について考えます。

本格化するビルとIoTのセキュリティ対策

　サイバー攻撃が大規模化、高度化し、その矛先がIoTを導入したビルにも向かう中で、政府も対策に本腰を入れて取り組んでいます。

　2015年9月には、「サイバーセキュリティ戦略」が閣議決定されました。そこでは、IoTのセキュリティ対策を推進するために、ガイドラインの策定や法整備、技術開発支援などの方針が示されました。

　これにもとづき、2016年1月に総務省と経済産業省が「IoT推進コンソーシアム IoTセキュリティワーキンググループ」を開催。同年7月には、ワーキンググループでの議論を踏まえ、対策の要点をまとめた「IoTセキュリティガイドライン ver1.0」が発表されました。

　ビルの情報セキュリティについては、2018年に経済産業省が「産業サイバーセキュリティ研究会」内に「ビルサブワーキンググループ」を設置。ここでは、ビルにおけるサイバー攻撃のリスクと対策について知見を共有しながら、ガイドラインの策定に向けた議論が続けられています。

　こうしたガイドラインを参考にしながら、ビルとIoTのセキュリティ対策を考えていきます。

まずはビルで使用しているIoT機器の把握から

　ビルにおけるIoTセキュリティは、「現状・実態の把握」「対策の洗い出し」「ロードマップ策定」を経て、実施・運用にいたります。

　最初に取り掛かるべきなのが「現状・実態の把握」です。守るべきものと、それらにどのようなリスクがあるのかが分かっていなければ、セキュリティ対策に取り組むことはできません。

　それには、まずビル内の資産を可視化し、どの機器がネットワークにつながっているのかを把握しなければいけません。

　インターネットに接続している機器はもちろん、クローズドのネットワークにつながっている機器も、サイバー攻撃のリスクがあると認識すべきでしょう。なぜなら、保守作業などの際に持ち込まれたPCからウイルスに感染する可能性があるからです。さらに、IoT機器がどのようなシステム構成で接続されているのかも、把握する必要があります。

ビルの弱点や体制を探る

　「対策の洗い出し」では、ビル内の脆弱性や脅威を明らかにし、どの部分に対策が必要なのかを明確にします。

　中でも不可欠なのが、IoT機器やソフトウェアの脆弱性についての調査。当然のことですが、ソフトウェアは常に最新バージョンに更新しておくことが大切です。しかし、IoT機器の中には、セキュリティパッチの更新ができないものも珍しくなく、問い合わせ窓口やサポートがないものすらあります。そうした脆弱性を洗い出すことで、ビルの運営上どのような影響を及ぼすのかシナリオを策定することができます。

　シナリオを策定する際には、リスクシナリオ分析や制御システムにおけるセキュリティマネジメントシステムの構築に有効なIEC62443に対し、何かできていて、何ができていないかを把握したうえで、事業が中断するリスクを最小限にするための対策を立てることが必要です。

　セキュリティに取り組む上で理想的な体制が取れているのか、現状と比較する作業も欠かせません。特に注目したいのが「経営者のコミット」です。最新のビルでは無数の機器がインターネットにつながっているため、サイバー攻撃を受ければ被害は広範囲に及びます。電力や通信が遮断されれば業務継続が困難になり、場合によっては人命に危害が及ぶ可能性もあるため、IoTセキュリティへの対策は経営上の課題としてとらえ、組織的に取り組むことが推奨されています。

防災対策と同じように全社的な取り組みが必要

　「ロードマップ策定」では、ビルの現状や課題をもとに具体的な対応策を決定します。

　これまでのプロセスで明らかになった課題に対して、事業への影響度などを踏まえて優先順位を決め、対策を行う順番や実施するタイミングを決定。さらにセキュリティ対策を実施するための体制づくりやルールの見直しなどを計画します。

　ロードマップを策定したところで、サービスの導入、そして運用へと進んでいきます。日々進化するサイバー攻撃に対し、ビルシステムのネットワークを常時監視し、サイバー攻撃の予兆検知、分析、即時遮断を適宜実施します。早期に対応できれば、セキュリティインシデントの被害を最小化することも可能です。

　すべてを自分たちで運営することが厳しい場合は、運営面や技術面で専門家の支援を受けることも必要です。ここで大事なのは、専門家が対策に参加したとしても、そこに任せきりにしていては有効な対策はとれないということです。レポートが提出される場合は、その内容を確認し、通信状況などの分析に基づいた対策を随時行うことが重要です。

　ビルにおけるIoTセキュリティのトラブルは、いつ発生するかわかりません。しかし、防災対策と同じように前もってリスクを想定し、対策を立てておくことで被害を軽減することができるのです。そのためには、IoTのセキュリティ対策を経営上の課題として位置づけ全社をあげて取り組む必要があります。社員1人ひとりが意識を高め、今回紹介したような基本的なことを確実に実行していくということが、IoTのメリットを享受しつつビルの安心安全を守る上で重要になるのです。