工場などの製造現場におけるUSBメモリーの利用に伴うセキュリティリスクと対策

昨今、多くの企業では情報のやりとりやデータ保管などにクラウドを活用するクラウドシフトが進み、USBメモリーの利用が減ってきている。しかし、工場ではまだまだ現役だ。USBメモリーの利用に当たっては、そこに潜むリスクと対策を理解した上で活用する必要がある。今回は、USBメモリーなどUSBデバイスの利用に伴うセキュリティリスクと対策について説明する。

USBデバイスの利用シーンとリスク

 工場で利用されるUSBデバイスとしては、USBメモリーやSDカード、外付けSSD※1が代表的なデバイスとして挙げられる。以前はオフィス環境でも多く使われていたが、現在ではクラウドの利用が中心となったこともあり、出番はほぼなくなったのではないだろうか。

 一方、デジタル化の過渡期である工場では、OSやアプリケーションのアップデート、各種ログの収集などでまだまだUSBデバイスを利用しているケースが多い。例えば、作業用PC上のOS やアプリケーションのアップデートプログラムをUSBデバイスに格納し、工場内の装置に接続して実行したり、工場内の装置で不具合が起きてしまった場合には、USBデバイスを接続して装置の稼働ログを収集し、調査用PCに持ち込んだりすることもあるだろう。単純ではあるが、こうした作業の一連のやりとりには以下のようなリスクが存在する。

【USBデバイスを利用するリスク】
・作業用PCがマルウェアに感染していた場合、接続したUSBデバイス経由で工場内の装置にマルウェアを持ち込んでしまうリスク
・工場内の装置がマルウェアに感染していた場合、接続したUSBデバイスを経由して調査用PCにマルウェアを持ち込んでしまうリスク
・USBデバイスを、さまざまなPCや工場内の装置で利用することによるマルウェア拡散のリスク
・USBデバイスを紛失したり第三者に盗まれたりして、製造情報が漏えいしてしまうリスク

 そのため、USBデバイスの利用にはルールや制限を設けてリスクの発生を抑える必要がある。

USBデバイス利用制限の仕組み

 読者の皆さんは、USBデバイスの接続そのものを制限する仕組みをご存知だろうか。今回はその方法について説明する。

 PCや工作機械を制御するためのPLC※2などの装置にはUSBポートが用意されているが、そこにUSBデバイス制御装置を設置して、接続できるUSBデバイスを制限する。USBデバイスの中には、個体識別番号(デバイスインスタンスID)が付与されているUSBメモリーがある。USBデバイス制御装置にこの個体識別番号を登録し、接続デバイスの許可リストを設ける。許可リストに登録された個体識別番号と合致したUSBデバイスだけに接続を許可するのだ(上記図参照)。個体識別番号が付与されていないUSBメモリーやカードリーダー経由で接続されるSDカード、外付けSSDなどは利用を禁止するというのが基本的な考え方だ。利用方法は、以下の通りとなる。

【USBデバイス制御装置の利用方法】
(1)USBデバイス制御装置をPCやPLCなどのUSBポートに接続し、錠前などで取り外せないようにする。
(2)USBデバイス制御装置に個体識別番号を登録する。USB接続のマウスやキーボードを利用する場合、それらも例外として登録しておく必要がある。ちなみに、ハブ機能としてのUSBポートが付属しているマウスやキーボードを登録する場合は、そのデバイスのUSBポートを使えないようにしておく。市販のUSBポートガードを用いることでロックできるだろう。
(3)登録したUSBメモリーをUSBデバイス制御装置のUSBポートに接続して利用する。

より強固なUSBメモリー運用を

 上記の仕組みにより、利用できるUSBメモリーを制限可能だ。しかし、これだけでは、マルウェア感染の防止や情報漏えい防止の実現には不十分だ。よりセキュアに運用するためには、マルウェア検知機能に加え、紛失や盗難時の情報漏えいを防ぐための暗号化とパスワードロック機能を備えたUSBメモリーを準備したい。

 マルウェア感染の防止には、USBメモリーと情報のやりとりをするPCにもマルウェア検知機能を持つソフトウェアをインストールしておくことも必要だ。その場合、別々のメーカーのマルウェア検知機能を利用することが望ましい。そうすることで、それぞれ異なる分析手法でマルウェアを検知できるというわけだ。メーカー保証の問題など、何らかの理由でPCにソフトウェアをインストールできない場合は、マルウェア検知機能を持つUSBメモリーを許可して定期的にチェックを実施する方法がある。

過失によるセキュリティ事故を防ごう

 大切なのは、管理できていないリスクを放置しないことだ。多くの従業員やシステムベンダーは、マルウェア感染などのリスクのあるPCやUSBデバイスを故意に利用しているわけではない。業務に追われてしまっていることで、セキュリティリスクの有無にまで意識が回らないのではないだろうか。

 工場の運営上、USBデバイスの利用がやむを得ないのであれば、登録済みUSBメモリーのみ利用を許可するといったルールをしっかりと決めて運用を行うことが重要だ。

 いずれは工場のデジタル化が進み、クラウドの活用や情報の受け渡しを一方向に制限する装置(データダイオード装置※3)の導入などにより、各種USBデバイスを利用しなくても情報を安全にやりとりできる仕組みが実現されることを願いたい。

※1 Solid State Drive:フラッシュメモリーを用いた記憶装置。ハードディスクに比べて処理速度が高速。
※2 Programmable Logic Controller:工場などの自動機械の制御に使われる制御装置。
※3 データダイオード装置:ハードウェアレベルでダイオードのように片方向のみ通信を許可する装置。

<参考>
日立製作所 USB接続管理装置「NX UsbMonitor」
https://www.hitachi.co.jp/products/it/control_sys/security-control/device/index.html#usb
日立製作所「日立評論 現場データ利活用を実現する情報制御プラットフォーム」
https://www.hitachihyoron.com/jp/archive/20 10s/2016/03/09/index.html