制御システムカンファレンス 2012の記事が出てます。

この制御システムのセキュリティをテーマにしたJPCERT コーディネーションセンター主催の「制御システムカンファレンス 2012」が2月3日、都内で開催された。制御システムを取り巻くセキュリティの問題や対策への取り組みなどの現状について興味深い報告が行われた。

制御システムのセキュリティは“10年遅れ” 急がれる対策の今 (1/2) - ITmedia エンタープライズ

カンファレンスの場ではこうした制御システムのセキュリティの現状を経済産業省 商務情報政策局 情報セキュリティ政策室の江口純一氏が紹介した。同氏によれば、世界全体でみると2000年代に入ってから制御システムに関するセキュリティインシデントの発生が増加しているという。
不正プログラムだけをみても、2003年に流行したSQL Slammerを皮切りに、W32/BlasterワームやZotobワームが制御システムに感染する事態が発生している。経済産業省が2008年に行ったヒアリング調査でも、ウイルス感染で工場のシステムが停止したケースやシステムを管理するためのコンピュータが不正プログラムに感染したという報告が数多くあった。
また制御システムが外部ネットワークの脅威とは“無縁”とされる点も、実態は大きく異なる。
2009年の経済産業省調査では国内にある234のシステムのうち、36.8％が外部ネットワークと接続されていた。その中の約55％はリモートメンテナンス回線だが、約43％はインターネットだった。また、プラント設備で使われるOSの88.9％がWindowsであった。外部メディアの取り付け口（保守プログラムなどを外部メディア経由でシステムにインストールなどの作業がある）の普及状況ではUSBが73.1％と最も多く、CD/DVDドライブも51.7％に上った。

制御システムのセキュリティは“10年遅れ” 急がれる対策の今 (1/2) - ITmedia エンタープライズ

制御システムのセキュリティ的な取り組みもガイドラインとか作られるんだなぁ。

制御システムのセキュリティを向上させるための取り組みは、世界的に進みつつあるという。「IEC62443」という国際標準の策定作業が進められているほか、国際計測制御学会が産業オートメーションや制御システムのセキュリティに関する「ISA-99」を提唱している。第三者機関によるこうした標準に基づく制御システム製品の評価・認証を行う活動も広がりつつある。
江口氏によれば、ユーザーである事業者などが「ISA-99」を指定して、システムメーカー側に第三者機関による認証の取得を求めるケースが増えており、経済産業者が2011年実施した調査でも、制御システムを輸出する企業35社のうち18社が「納入先から安全性評価を求められている」と回答した。
国内でもこうした取り組みを急ぐ必要性が高まっている。江口氏は、「国際標準の推進」「検証環境の整備」「インシデント対応体制の整備」「人材の育成・啓発」の4つを重点分野に挙げ、「オールジャパン体制でこれらの取り組みを推進する」と述べた。
また福森氏は、制御システム分野でセキュリティ意識を高めることが重要とし、認証や通信に関する対策や取り組みを急ぐべきだと指摘。制御システム分野とコンピュータセキュリティ分野の双方の技術者が交流などを通じて相互理解を深めていくべきだという。
宮地氏は、「大規模な設備投資を必要とする制御システムにおいて、セキュリティが占める割合はあまり大きくはない。だが脆弱なセキュリティは設備全体に影響する」と述べ、制御システムのセキュリティ向上に業界の垣根を越えた取り組みを呼び掛けた。

制御システムのセキュリティは“10年遅れ” 急がれる対策の今 (2/2) - ITmedia エンタープライズ