221124　第3章個別テーマ(一部抜粋） 3.1 制御システムの情報セキュリティ

221124　第3章個別テーマ

本章では個別テーマとして、制御システム、IoT、ク
ラウドのセキュリティについて、報告されたインシデントや
攻撃の実態、脆弱性や脅威の動向、国の施策や対策
状況等を解説する。2年ぶりに取り挙げるクラウドのセキュ
リティについては、近年利用が急増しているSaaS に焦点を
絞り、解説する。
また、2021 年後半以降のウクライナ危機は、武力と情
報が組み合わさった新たな脅威を生み出しており、米国
や欧州がこの状況にどう対応しているか、関連するセキュ
リティ政策や政府・民間組織の動向について紹介する。
3.1 制御システムの情報セキュリティ
制御システム（ICS：Industrial Control System）は、
電力、ガス、水道、輸送・物流、製造ライン等、我々
の生活を支える重要インフラ※ 1を管理し、制御するシス
テムである。従来、制御システムの多くは独立したネット
ワーク、固有のプロトコル、事業者ごとに異なる仕様で
構築・運用されており、外部からサイバー攻撃を行うこと
は困難と考えられていた。しかし、近年、外部ネットワー
クとの接続、標準プロトコルや汎用製品の利用が進んだ
こと、10 ～ 20 年に及ぶライフサイクルの長さ故に、外部
との接続やサイバー攻撃を想定していないシステムが今
も多数稼働していること、また、攻撃者にとって価値の
高い標的であることから、制御システムに対するサイバー
脅威が高まっている。実際に、社会経済活動に大規模
な被害が出たインシデントも発生している。
本節では、制御システムのセキュリティの動向と主な取
り組みについて述べる。

3.1.1 インシデントの発生状況と動向

調査会社による制御システムユーザ等へのアンケート
調査において、2020 年同様、2021 年も制御システムへ
の侵入や運用障害が発生したという回答が一定数以上
あった。
例えば、米国、ドイツ、日本の製造業の IT 及び制御・
運用技術（OT：Operational Technology）の専門家
500 名を対象とした調査結果では、61.2% がサイバーセ
キュリティインシデントを経験した、と回答している。イン
シデントの 74.5% でシステムの停止が発生しており、その
うち 43.4% が 4日以上の停止の被害に至った、と回答し
ている※ 2。英国の航空、化学、エネルギー、輸送、水
道分野等の重要国家インフラ（CNI：Critical National
Infrastructure）組織の IT 意思決定者 250 名を対象と
した調査結果では、86% が過去 12ヵ月間に OTと制御
システムに対するサイバー攻撃を経験しており、そのうち
93% が少なくとも1 度は攻撃が成功していた、と回答し
ている※ 3。
2021 年に公になったインシデントには、水道やパイプラ
イン等の重要インフラを標的とした攻撃、サイバー攻撃に
よる生産や重要サービスの停止、メディア企業への攻撃
による放送や新聞発行の停止、公共交通機関を標的と
した攻撃、医療機関への攻撃、USBメモリやパソコン
を接続することによるウイルス※ 4 感染、という六つの特
徴が見られた。

所感
ウクライナの侵略は2014年以前からサイバー攻撃等があった
日本は、全く時間がないのでスピード良く叡智を結集させて
迅速やるしかないような。