最近、AI(人工知能)やロボットとともにIoT(Internet Of
Things モノのインターネット化)に注目が集まっています。
そこでリスク管理の観点からIoT時代における不正アクセスの問題やリスク、およびその対応策について3回にわたってご紹介します。
2回目は、無防備だった地下水の処理設備の運転監視システムについてです。
ちょっと古い情報ですが昨年12月21日(水)放送のニュース番組(NHK総合テレビ)で地下水の処理設備の運転監視システムへの外部からの侵入について取り上げていたのでご紹介します。
全国の病院や商業施設などに飲み水などを供給する地下水の処理設備の運転監視システムがインターネットを通じた外部からの侵入に対して無防備だったことがNHKの取材で分かりました。
様々なモノが当たり前のようにインターネットで結ばれる時代、リスクも次々に明らかになっています。
広島市内の病院では医療現場で使う水や飲み水を災害時にも確保出来るように地下水を処理して利用するシステムを導入しました。
このシステムは他にもホテルや大型商業施設など約170ヵ所で導入され、開発した国内のメーカーがインターネットを通じて運転を監視する仕組みになっています。
ところが、セキュリティの問題を取材していたNHKの記者が局内のパソコンで特定のIPアドレスを入力すると、表示されたのは「計測装置リモート操作」などの文字、更には先ほどの病院の名前もです。
水処理システムの稼働状況が外部から丸見えになっていたのです。
最悪の場合、勝手に設定を変えられたり、監視機能を停止させられたりする恐れもありました。
先ほどの広島市内の病院の担当者は、番組の中で次のようにおっしゃっています。
「寝耳に水というところですね。」
「外部から操作出来る仕組みになっているというのはちょっと脅威ではありますね。」
このシステムを開発したメーカーは、NHKの指摘に対して問題があったことを認めました。
既にシステムの改修は済ませ、被害の情報もないとしています。
このメーカーの担当者は、番組の中で次のようにおっしゃっています。
「インターネットはデータ収集とか私どもが見るツールという認識で、脅威の分析が出来ていなかったところが反省点ですね。」
今や、あらゆるモノがインターネットで結ばれようとしています。
こうした技術はIoT(モノのインターネット化)と言われ、広がりが期待されています。
その一方でリスクも次々に明らかになってきています。
国内では2016年1月インターネットにつながった防犯カメラ約6000台の映像が誰でものぞき見出来る状態だったことが分かりました。
以上、番組の内容をご紹介してきました。
前回は、佐賀県の教育システムでの不正アクセスの問題を例に、ちょっと気を付ければ防ぐことは出来るとお伝えしました。
今回の地下水の処理設備の運転監視システムへの外部からの侵入については、番組内では具体的にどのような不正が行われたのかについては触れられておりませんでした。
しかし、このシステムを提供しているメーカーの担当者が番組でおっしゃっておること、および取材していたNHKの記者が局内のパソコンで特定のIPアドレスを入力すると
水処理システムの稼働状況が丸見えになっていたことからは、このメーカーは不正アクセスへの対応策がこのシステムにはほとんど組み込まれていなかったと想像されます。
たまたまNHKの記者が問題を発見したからいいものの、最悪の場合は不正アクセスにより、番組でも指摘しているように勝手に設定を変えられたり、監視機能を停止させられたりする恐れもあったのです。
そうなれば、このシステムを使用している病院やホテル、大型商業施設など約170ヵ所で大変な被害が発生していたわけです。
このように情報がインターネットにつながるにつれて情報における利便性が高まる一方で、不正アクセスによる被害のリスクが高まるのです。
しかし、どうもシステムを提供する側にはそうした影響の大きさを与えてしまうリスクに対する危機意識が弱く、あるいは不正アクセス対策に対する技術的な知識が不十分のところが少なからずあるように思えます。
特にマイナンバーカードの登録情報のような個人情報、あるいは電気、ガス、水道など社会インフラの制御システムが不正アクセスされた場合の影響は計り知れません。
また、番組でも取り上げられていたインターネットにつながった防犯カメラも、将来的には誰がいつどこにいたかを特定出来るほどの機能を備えてしまうかもしれません。
ここでとても重要なことは、一旦個人情報がネット上に流出してしまえば、その情報はどこまで拡散されてしまうか分からないのです。
ですから、ネット上でのサービスを提供する側は、あらゆる不正アクセスの可能性を検討したうえで、そのリスク対応策をしっかりと組み込んだシステムを提供することが求められるのです。
同様に、ユーザー側も人為的な観点での不正アクセスのリスク対応策の検討が求められます。
同時に、プロジェクト管理と日常生活 No.389 『マイナンバー制の導入時に必須のコンティンジェンシープラン』でもお伝えしたように、万一不正アクセスがなされてしまった場合に備えてしっかりしたコンティンジェンシープランもシステムの導入時には構築しておくことも忘れてはならないのです。
同時にユーザー側もサービスプロバイダーに対して、どのようなコンティンジェンシープランが検討されているのかを確認しておくことをお勧めします。
どんなシステムでも100%安全であることはあり得ないと考えておくことが必要なのです。