ニュース

SBTとサイバートラスト、竹中工務店、オフィスビルへのサイバー攻撃を想定した共同実証実験

 ソフトバンク・テクノロジー株式会社(以下、SBT)とサイバートラスト株式会社は16日、株式会社竹中工務店と共同で、ビルディングオートメーションシステムにおけるIoT機器のセキュリティ脆弱性診断の実証実験を実施すると発表した。

 3社では、建物においても空調設備や電気設備、各種センサーなどさまざまな機器がネットワークにつながり、IoT化が進む一方、今までサイバー攻撃の対象ではなかった機器が攻撃の対象となり、IoT機器の脆弱性を利用した乗っ取りや利用停止といった被害の報告が挙がっていると説明。こうした状況を踏まえ、共同でビルオートメーションのIoT脆弱性セキュリティ診断を行い、ビルオートメーションにおけるIoT機器のセキュリティ課題を顕在化し、対策方法の検討を行う。

 実証実験では、竹中工務店所有のビルオートメーションシステム関連装置や社内システムからビルオートメーションへの侵入を試み、不正アクセスや情報漏えいを想定した脆弱性診断を行う。

 実証実験の実施期間は11月から12月までを予定。不正アクセスや情報漏えい対策として、デバイスや制御コントローラ、ネットワークに潜む脆弱性や潜在要因を検出する。

 主な診断項目としては、1)各種サブシステムや制御コントローラに対するセンシング情報への不正アクセス、パラメータ改ざんなどの入出力処理に関する調査、2)ログインフォーム、ログインエラーメッセージ、ログイン・個人情報の送受信などの認証に関する調査、3)権限昇格、権限のない情報へのアクセスなどの認可に関する調査、4)PLCや制御コントローラ(制御盤)、中央管理室設備に対する起動・停止や乗っ取り、不正制御可否などの制御に関する調査、5)デバイスのシリアルポートから侵入、悪意のあるコード挿入、漏えい可否などの外部ポートに関する調査――を予定する。

 実証実験において、SBTではビルオートメーション全般に向けた脆弱性の仮説立案と脆弱性診断後の機器レベルからネットワークレベル、遠隔監視までの対策およびソリューションを提供する。

 サイバートラストでは、IoT脆弱性診断の実施、結果レポートと対策の検討および、サイバー演習手順、評価の技術支援と重要機器などへの高セキュリティ対策を提供する。竹中工務店では、ビルオートメーションにおけるセキュリティ注力点の調査および検討と実環境での脆弱性診断を実施し、脆弱性診断後の対策検討および今後の新規建築物などに向けたセキュリティ対策の実装を検討する。

 SBTとサイバートラスト、竹中工務店は実証実験の結果をもとに、共同でビルオートメーションのセキュリティ対策を強化し、ビルオートメーションをはじめとしたEMS(エネルギーマネジメントシステム)市場のセキュリティ意識の向上に努めていくとしている。