モデレートされた情報公開は可能か

　去る1月24日、「制御システムセキュリティカンファレンス2013」が開催された。このイベントでは、国内の制御システム業界のエンジニアやセキュリティの専門家に向けて、制御システムのセキュリティの動向や現状、官民の取り組みなどが発表され、議論が行われた。

　カンファレンスには、米国ベライゾン 制御システムサイバーセキュリティ経営プリンシパル Sean Paul McGurk氏（前米国国土安全保障省（DHS） 制御システムセキュリティプログラム ディレクター）や日本マイクロソフト チーフセキュリティアドバイザー 高橋正和氏らの講演が行われた。そのほか、制御システムに対する国の取り組みのうち、製品のセキュリティ機能を検証するテストベッドの紹介や製品の脆弱性情報のハンドリングについてのセッションが行われた。

　脆弱性情報ハンドリングとは、ソフトウェアやシステムのセキュリティホールが発見された場合、その情報をいかに公開、共有するかの手順やルールのことだ。脆弱性情報ハンドリングで考えなければならないのは、むやみな公開は、攻撃者を利したり被害を必要以上に拡大させてしまう恐れがあること。そして、公開にあたっては、修正パッチや対策情報を伴う形であることが重要となる。

　ここで、「攻撃者を利するなら公開しなければいいのではないか」と考えるかもしれないが、まったく公開しなければ、知らないユーザーは危険な状態でシステムを稼働させることになり、長期的な被害につながりかねない。とくにITシステムのように、利用するユーザーが不特定多数のものは、一定の公開ルールの元、すみやかに対策を促す必要がある。現在、IT業界では脆弱性情報ハンドリングはコーディネートディスクロージャー（あるいは「モデレートされた公開」）がベストであるとされ、フルディスクロージャー（情報が錯綜し信頼性が保てない）や全面非公開は推奨されない。

制御システムならではの脆弱性情報ハンドリング

　しかし、制御システムの場合、市場に流通するような機器ではなく、顧客も重要インフラ施設や機関など限られた範囲なのでパッチ修正の管理も可能である。あるいは、製品や機器の特性上、ソフトウェアのアップデートが容易でない、業務ごとにカスタマイズされている、ソフトウェア修正のためにプラントや発電所は簡単には止められない、といった事情もある。

　そのため、業界内では、そもそもIT業界の脆弱性情報ハンドリングを適用する必要があるのか、という意見もある。実際、カンファレンスではそのような質問や議論が行われていた。

　このような反応は、日本特有というわけでもなく、一部海外でも見られる。昨年、デジタルボンド社がPLCの脆弱性を公開して業界に一石と投じた件をご存じだろう。

関連記事：
デジタルボンド社ピーターソンCEOが語る、制御システムセキュリティの動向と対策

　この活動について制御システム業界から理解を示す声がある一方、あまり歓迎していない人も存在するようだ。そのためか、PLCの脆弱性を専門家が集まって調査し、発表に至った「ベースキャンプ」は今年は開催しないという話もある。

　前述の制御システムセキュリティカンファレンス2013で行われたJPCERT/CC 理事 宮地利雄氏のセッションでも、セキュリティ体制を整備して、脆弱性への対応や情報開示に積極的なベンダーと、公開または発見された脆弱性への対応に消極的なベンダーと、二極化がみられるとの報告がなされた。

　セキュリティ対策が必要であることは理解できるが、脆弱性の公開については既存の枠組みを適用して、コーディネートされたものだとしても、それを公開することには無理がある。このような言い分にも一理あるだろう。業界の特殊事情やプレーヤーの違いを考慮するのは合理的なことだ。そのため、現在、制御システム業界、セキュリティ業界などの有識者などによって、制御システム業界の特性やビジネスモデルにマッチした脆弱性情報ハンドリングのルールづくりが進められている。

【次ページ】研究会が発足、3月末にガイドライン発表