ビルのサイバーセキュリティ、というと何を想像するだろうか。ビルのセキュリティであれば警備員や監視カメラなどを想像する人も多いだろう。サイバーと頭に付くと、ビルの管理システム、すなわち監視カメラ、入退管理、火災警報、空調、電力、エレベータ等の設備が、ビルの外部ないし内部からサイバー攻撃により電子的に不正アクセスされる、という話となる。 米国会計検査院(GAO)が米国連邦施設のビル管理システムについて所管官庁宛に勧告を2014年12月に出しているが、ビルの用途次第では、国内のビルも他人事ではなく、一部の関係者は影響を注視している。
ビル業界が反応した公的機関からの広報
GAOの勧告の数ヶ月前から、国内でビル業界の関係者が反応したニュースがあった。警察庁が昨年3回に分けてビルの管理システムへの探索行為を検知し、@Policeで公表したことだ。@Policeでは恐らく意図して伏せられているが、探索行為の大半がSHODANによるものだった。SHODANはインターネットに接続された機器を検索するサービスであり、SHODANを活用した調査も増えている。そのSHODANにビル管理システムの探索用にツールを提供したのがRedpointプロジェクトで、こちらは制御システムのネットワーク機器を探索してまわるツールを公開している。同様の探索は、Black Hat Asiaで、ソチオリンピック会場設備の制御画面を晒したセキュリティ業界の著名人も実施していた。GAOの勧告にも背後には、こうした業界の著名人がいると言われている。
半信半疑な現状
ビルの管理システムで、人命に絡む可能性が高いのはエレベーターや、地下の排気設備で、そこを攻撃されない限り大きな問題にはならないと、実際に攻撃が行われないうちは多くの関係者が感じることかもしれない。しかし、上述の業界人がデモを交えて政府に働きかける結果が、他の攻撃者を刺激したり、規制を作ったりする流れになることは十分に想定できる。国内で、SHODANに捕捉されるような運用中のビル管理システムは無いものの、米国に先行して、ビル分野のサイバーセキュリティ演習が実施されたり、日本データセンター協会が活動を推進したりしていることも、潜在的な脅威の対処といえる。また、2020年のオリンピック・パラリンピックの会場施設での実被害も、プレゼンのネタを提供するようなことも、避けたいという思いを持つ人も多いだろう。
高機能化するビルを守り続ける営み
こうした潮流は、ビル管理システムを構成する機器に、効率等のためインターネットプロトコルベースの制御プロトコルを使う動きが生んだ副産物ともいえる。新しいことをすると隙間やひずみができて、攻撃対象になることは繰り返されている。例えば、ドイツ発のIndustry 4.0でも、工場において、製品の生産とエネルギー効率との連動を考えることになるだろう。ビルエネルギー管理システム(BEMS)と連動して、工場の操業のピークシフトを行うような制御もシナリオとして将来的にはあり得る。工場での生産管理が、建屋の電力や空調の制御とまで連動するようになるとき、例えば操業に影響を及ぼす可能性のあるBEMSへのなりすましや改ざん等、操業の妨害を狙う攻撃パターンが増え、その対処が求められるようになるだろう。
米国家安全保障局(NSA)で今やっていることが、そのうち博士論文になり、やがて犯罪者が活用するツールに組み込まれる、という皮肉めいた意見もある。潜在的な攻撃者を利する情報、および刺激を与えるセキュリティ業界の著名人の動向を追い続けなければならないという、終わりの見えない営みがビル業界でも始まっている。
本文中のリンク・関連リンク:
- U.S. GAO – Federal Facility Cybersecurity: DHS and GSA Should Address Cyber Risk to Building and Access Control Systems
- 警察庁セキュリティポータルサイト@police
- ビル管理システム「BACnet」に対する新たな手法の探索行為を検知(警察庁)ScanNetSecurity (脅威、脅威動向のニュース)
- Shodan – ICS Radar
- digitalbond/Redpoint
- Black Hat Asia 2014 | Briefings
- 電力・ガス・ビル・化学分野のサイバーセキュリティ演習を実施します(METI/経済産業省)
- プレスリリース|日本データセンター協会 (JDCC)
- The Kaspersky equation | The Economist