昨今、あらゆるモノがネットにつながる「IoT」が拡大していて、オフィスビルもその例外ではない。入居者のOA(オフィスオートメーション)だけでなく、建物自体をITシステム化して、照明や空調、エレベーターなどを制御するビルディングオートメーションも始まっている。
それを端的に言えば、「ネットにさらす」ことになりかねない。IoTの広がりとともに、これまで閉じられた世界にあったモノや仕組みにおいて、サイバー防衛力の弱さが浮かび上がり、非常に問題視されている。
そこできょう、SBTとサイバートラストは、竹中工務店と共同でビルディングオートメーションシステム(BA)における設備環境を対象としたセキュリティ脆弱性診断の実証実験(ペネトレーションテスト)を行ったことを発表。社内情報(OA)系ネットワーク経由ならびに閉域網での運用を前提としたBAネットワーク自体からのサイバー攻撃で脆弱性が検出されたとした。
これにより、BAネットワーク上のサーバ(空調サブシステム等)類や機器への不正侵入、またはマルウェアを感染させることで電力システム、空調システム、照明システムなどをダウンさせるといった被害を及ぼす可能性があることが判明したという。
OA系ネットワークから閉域網での運用を前提としたBAネットワークへのペネトレーションテストでは、侵入はできなかったものの、時間を掛けて攻撃すれば侵入可能であることがわかった。ほかに、BAネットワーク上のサーバ/機器が被害を受ける可能性があることや、設備の制御機器自体の評価において、省エネモニターなどを攻撃の踏み台にされる恐れがあることがわかった。
今回の結果を受け、SBTとサイバートラストは竹中工務店とともに、OAネットワーク経由、閉域BAネットワーク自体からの侵入、機器への物理的な攻撃も想定した、BA向けセキュリティソリューションの開発を推進するという。