ソフトバンク・テクノロジー(以下、SBT)とサイバートラストは、竹中工務店と共同で、ビルディングオートメーションシステムにおけるIoT機器のセキュリティ脆弱性診断の実証実験を実施する。IoT機器のセキュリティ課題を顕在化し、対策方法を検討する。
今回の実証実験は、竹中工務店所有のビルオートメーション関連装置や社内システムからビルオートメーションへの侵入を試み、不正アクセスや情報漏えいを想定した脆弱性診断を行うというもの。不正アクセスや情報漏えい対策として、デバイスや制御コントローラ、ネットワークに潜む脆弱性や潜在要因を検出する。
各社の役割は以下の通り。
・SBT:ビルオートメーション全般に向けた脆弱性の仮説立案と脆弱性診断後の機器レベルからネットワークレベル、遠隔監視までの対策およびソリューションの提供
・サイバートラスト:IoT脆弱性診断の実施、結果レポートと対策の検討。サイバー演習手順、評価の技術支援と重要機器などへの高セキュリティ対策の提供
・竹中工務店:ビルオートメーションにおけるセキュリティ注力点の調査、検討と実環境での脆弱性診断実施。脆弱性診断後の対策検討、今後の新規建築物などに向けたセキュリティ対策実装の検討
実証実験では、以下の調査項目を検証する。
1.入出力処理に関する調査
各種サブシステムや制御コントローラに対するセンシング情報への不正アクセス、パラメータ改ざんなど
2.認証に関する調査
ログインフォーム、ログインエラーメッセージ、ログイン・個人情報の送受信など3.認可に関する調査
権限昇格、権限のない情報へのアクセスなど4.制御に関する調査
PLCや制御コントローラ(制御盤)、中央管理室設備に対する起動・停止や乗っ取り、不正制御可否5.外部ポートに関する調査
デバイスのシリアルポートから侵入、悪意のあるコード挿入、漏えい可否など
SBTとサイバートラスト、竹中工務店は本実証実験の結果を基に、共同でビルオートメーションのセキュリティ対策を強化し、ビルオートメーションをはじめとしたEMS(エネルギー管理システム)市場のセキュリティ意識の向上に努めているという。