ビルや工場の建物がサイバー攻撃で狙われる！ 様々な機器や設備がインターネットにつながる、そんな時代がやってきています。どのようにリスクを分析し、対策を施せばいいのでしょうか。

背景としては、OTと呼ばれる運用技術（Operational Technology）と情報技術（IT）の連携や、近年のIoT（Internet of Things）の進展によって、私たちはさまざまな利便性や安心・安全な環境を手にできるようになったことがあります。家電製品のような単体の製品はもちろん、生産にかかわる産業機器、物流にかかわる車両、オフィスや工場、データセンターなどの建物など、多様なものがインターネットやネットワークに接続し、状況を可視化したり遠隔から管理・操作したり、新しいサービスを生み出したりしています。

一方で、こうした設備や機器、製品の多くは、これまでインターネットなどの外部のネットワークに接続することをあまり考えられていませんでした。ITの世界であれば当然のようなセキリティ対策すらなされておらず、脆弱性があちこちに存在しているリスクがあるのです。そうした設備や機器をネットワーク接続することは、サイバー攻撃にさらされる可能性を高めてしまうのです。

ビルや工場にも広がるサイバー攻撃のリスク

セキュリティ対策が求められる「設備」の1つに、ビルや工場などの建物があります。建物は、空調や照明、自動火災報知機、上下水・工業用水道（工水）・ガス・薬液などの各種ユーティリティ、エレベーター、それらを支えるエネルギー設備など、多様な設備が集合したものです。古くは多くの設備はそれぞれ単独で制御していましたが、最近はこれらを統合管理ができるようなビルマネジメントシステム（BMS）が導入されています。さらにBMSを自動化したビルオートメーション（BA）システムの導入も進んでいます。BAシステムはIoTを基盤技術に使って、建物を稼働させるための多くの設備をオープンにして一気通貫で監視・管理できるようにするものと言い換えることもできます。

ビルの中央制御室では、BAシステムがモニターしている情報を総合的に監視することで、多様な設備の稼働状況を管理できます。建物の利用状況に応じた空調や照明の調整などを、人工知能（AI）の力を借りて自動的に調整し、快適性と省エネ性を両立させることもできます。

BAシステムは、ネットワークによってセンサーや機器、サーバーなどを連携して実現しています。ということは外部のネットワークと接続することによって、ビルが稼働するために必要な設備がサイバー攻撃によって乗っ取られ、思いもよらない挙動を示す危険性があるのです。空調が効かなくなる程度ならばまだしも、エレベーターが暴走したり、電力が遮断されてしまったりしたら、ビルの安全性が保てませんし、業務がストップ、人的被害を及ぼす可能性すら考えられます。工場の場合ですと、BAシステムに加え、ファクトリーオートメーション（FA）/プロセスオートメーション（PA）の各システムがサイバー攻撃にさらされ、生産機器の誤動作やライン停止に追い込まれることで、操業停止という大きな機会損失を被ることになります。

ビルや工場などの様々な設備がBA/FA/PAシステムによって一元管理され、遠隔監視などを実現するようになればなるほど、従来よりも強固なセキュリティ対策が必要になるのです。

建物を攻撃から「守る」にはどうしたらいいか

IoTの導入によって、ビルや工場などの建物のセキュリティが脅かされるとなると、どこにセキュリティの脅威があり、それを守るための対策として何が不足しているかを見極めなければなりません。それでは、多種多様な設備を一元管理する複雑なシステムの脆弱性を診断し、対策を検討するにはどうしたらいいでしょうか。

ソフトバンク・テクノロジーとサイバートラストは、こうしたシステムに対する脆弱性を診断するセキュリティソリューションの開発を推進しています。その1つの方法として、「ペネトレーションテスト」という手法を用いた脆弱性診断があり、実証実験を実施しました。ペネトレーションテストとは、ネットワークに接続されているシステムに対して、実際にサイバー攻撃を仕掛けて侵入を試みる試験方法です。サイバー攻撃を受けた際に、どのぐらいの攻撃に耐えられるのか、侵入されたときにどのような影響があるのかといったことを、実際に起こりうる攻撃シナリオを想定してチェックします。

ソフトバンク・テクノロジーとサイバートラストは、竹中工務店と共同で、すでに稼働中の竹中工務店所有のビルを使って、BAシステムに対するペネトレーションテストによる実証実験を実施しました。実際に社内外のネットワーク経由や物理的な侵入などによる攻撃のシナリオを用意して、侵入の可否や脆弱性の存在を確認するというものです。インターネットからの侵入だけでなく、第三者が立ち入り可能な執務室エリアからのWi-Fi接続による侵入、中央制御室に入室できる取引業者を装った物理的な侵入による攻撃など、多様なシナリオが設けられました。

実証実験を行ったビルでは、既に様々なセキュリティ対策が施され、効果が発揮されており、診断時にはインターネットからの侵入が出来るようなリスクは発見されませんでした。一方で、社内情報系ネットワーク経由からは時間をかければ侵入できる可能性が見つかりました。さらにBAシステムを管理する中央制御室配下の閉域網からは、BAシステムの制御サーバや制御コントローラへの侵入が容易に可能であることがわかりました。また、経路からマルウエアを感染させることで、電力システムや空調システム、照明システムをダウンさせる被害を及ぼすリスクを確認しました。

竹中工務店では、ペネトレーションテストによる実証実験の結果を受けて、対応するセキュリティ対策を施すことで、すでにビルの安全性を確保しています。ネットワークからの侵入だけでなく、人の侵入や制御コントローラなどの機器への物理的な攻撃も想定して、対策を講じる必要があることが明らかになり、適切な対策を施すことができました。

もちろん、セキュリティ対策は網羅的に実施することが理想です。しかし、実際にはコストや期間などの課題があります。既存の建物のBAシステムのセキュリティ対策を考えるときには、実際に攻撃される可能性が高いシナリオを用意したペネトレーションテストによって、効率的に脆弱性を洗いだして対策を施す手法が有効になるのです。

建物の付加価値を向上、異なる分野でも適用可能

竹中工務店との実証実験では、ペネトレーションテストの手法を使って、デバイスや制御コントローラ、ネットワークに潜む脆弱性や潜在要因を検出してセキュリティ対策を施すことができました。国内ではビルに対してペネトレーションテストを実施した例はほとんどなく、今回の実証実験は先進的な事例となります。

ペネトレーションテストは海外では一般的な手法であり、具体的な攻撃に対するリスクが明確になることから経営層への説得にも効果的です。ビルや工場などの建物の脆弱性診断をすることでサイバー攻撃に対する守りを固められれば、オフィス環境の維持や工場の安定稼働が一段と保証されます。快適なビルやダウンタイムが少ない工場といった、建物の付加価値を高めることにつながるのです。

ネットワーク化が進むことで、脆弱性診断が求められるようになる分野は、建物に限りません。特に産業分野の生産機器、生産ラインなどのIoT化が進展すると、サイバー攻撃によって重要情報の漏えいや、機器・ラインの停止などの大きな被害が起こりうると考えられます。網羅的なセキュリティ対策が難しいようなケースでも、ペネトレーションテストの手法を利用することで「想定される攻撃」に対するセキュリティ課題を顕在化し、現実的なセキュリティ対策を施すことが可能です。

今回の竹中工務店所有のビルのペネトレーションテストは、サイバートラストが約10年にわたり提供してきている「脆弱性診断サービス」の知見と、ソフトバンク・テクノロジーが培ってきたビルや工場、化学プラントなどの運用管理システムのノウハウを生かしたものです。サイバー攻撃に対して、どこに脆弱性があるのか、どのような対策が求められるのか－－。今回の事例は、セキュリティへの不安を抱える様々な産業分野でも、ペネトレーションテストの手法が有効に活用できることを示す1つの成果であると言えるでしょう。

【関連情報】
・オフィスビルへのサイバー攻撃を想定した実証実験により、 建物設備システムにおける脆弱性を発見