やってみた

守るだけでは腑に落ちなかった - 制御システム技術者のサイバー修行録(第9回)最終回

yasuikj

攻撃を知り、守りが「自分ごと」になった。

攻撃を学び続けた先にあったのは、昔描いた「100年使えるシステム」の構想だった。守りを「自分ごと」にするための修行録、その最終回。

第9回(最終回):100年使えるシステムの構想に立ち返る - これからの制御システムセキュリティ

【連載記事】 この記事は全9回の連載です。📚 連載まとめ・目次はこちら

制御システムペネトレーションテスト

制御システムのペネトレーションテストに参加する中で、よく見かける弱点の知見を積み重ねてきた。その中でも「これは、制御システムに関わる方は知っておいた方がいいのでは?」と思えるSSH、SFTPに関するノウハウの一つを気づかずやっていませんか?危険なSSH、SFTPの使い方にまとめた。OTシステムハッキングで扱う中間者攻撃の怖さを、実際に起こりそうな場面で説明した内容である。

ペネトレーションテストを進める中で、現場の開発者と直接話せる機会を得られることは、とても有意義だと思う。

システムを設計・開発している方が、どのような設計がどうして危険なのかを、実際の攻撃を体験することで納得することは重要だ。紋切型の個別の脆弱性項目と対策文章だけを読んでも自分たちにとって本当にリスクが高いか判断することは難しい場面が多いと思う。

システムの背景や攻撃の前提を含めた攻撃シナリオをもとにした、双方向の直接会話により、ペネトレーションテストの結果を、その後のシステムの開発や運用にフィードバックする好循環の道が開け、これを継続することにより着実に足腰が鍛えられていくのだと思う。

2025年 OSCP(OffSec Certified Professional)取得

何かを伝えるとき、自分でできないことを見聞きした情報だけで語るのでは説得力が弱い。一方で、自分の体験だけでも視野が狭くなる。 そんなことを思い、サイバーディフェンス研究所入社時より長い期間保留していたOSCP資格の取得に取り組んだ。 攻撃者の視点を体系的に学び直し、自分の中の攻撃戦略や判断軸を整理し直すためだった。OSCPは、仮想環境で実際にシステムへ侵入し、24時間かけて攻略とレポート提出を行う実践型の資格である。

制御システムセキュリティに関わってきた中で、サイバー攻撃の攻撃戦略や戦術の基本について、改めて体系的に学びたいと考えた。約1年をかけて学習し資格取得に至ったのだが、振り返ると、様々な個別の攻撃手法を知ることもさることながら、サイバーセキュリティの基礎の基礎であるパスワードの使い回しに重点をおいていたり、攻撃戦略を自分で整理して臨むことが必要とされたりと、考え方を学ぶという観点で大変有意義だったと思える。

OSCPの学習を通じて再認識したのは、攻撃技術そのものよりも、「自分で考え、自分で判断し、自分で突破する」という姿勢だった。

100年使えるシステムの構想に立ち返る

田中は、これまでのサイバーディフェンス研究所での活動を振り返ってみた。

様々な攻撃手法を学び、ペネトレーションテストに参加し、検証環境を構築し検証を行い、そこで得られたノウハウを制御システム業界の方へ届けるべく活動をしてきた。

ここまで知見を公開してきたが、サイバーディフェンス研究所へ入社当初考えていた、制御システム業界の人たちへ伝えるということは、どこまでできただろうか。

少しでも多くの方へ届き、セキュリティ対策のヒントになっていれば幸いである。

自らの手で環境を構築し、カスタマイズし、新たなサイバー攻撃にも対応し続けるようになること。

システムが特定のベンダーや時代の流行に依存しすぎず、技術者がその意思でコントロールし続けられる状態こそが、真の堅牢さである。

これは、昔に考えた100年使えるシステムの構想に通じるではないか。

この考えにどれだけ共感が得られるかはわからない。

田中は自分を信じ、今後も信じた道を進んでいこうと思った。

編集後記

ここまで田中の物語を読んでくださった読者へ、最後にひとつ補足しておきたいことがある。

ここで、筆者と田中の関係を述べておく。冒頭で述べたように田中は架空の人物である。

なぜ架空の人物のフィクションとして描かれているのかを編集後記として記す。

なぜフィクションなのか

本連載を執筆するにあたり、技術者の経験をつづったエッセイ集のようなものが無いかを調べた。

すると、海外のものや創業者など、その業界に名をなした方の本が見つかる。しかし、市井の一技術者の物語というものはなかなか見つからない。

そもそも技術者で自分の物語を書いて出版しようという人は、少ないだろうということは予想できる。

また、書こうとしても、自分が過去に所属した組織の内情がわかるような内容は、組織にいる人に迷惑がかかったり、情報リークと批判を受けるリスクがある。

とくに本連載は、セキュリティという繊細な話題である。

日本においては、公開された制御システムのインシデント事例というのをあまり聞いたことがないのではないだろうか?

そのような現状にあって、特定のシステムを想起させる脆弱性をテーマに紹介することは、迷惑をかける可能性もありはばかれる。

これらのリスクを避けるために、フィクションの形式をとった。

具体例の価値

ただし、具体例をあげた内容の方が、読者には理解しやすいのも事実だと思う。先人の経験談は、知りたい人には参考になるものである。

昔は、先輩に飲みに連れて行かれ同じ話を何度も聞かされたというような経験が、良かれ悪かれあったかもしれないが、今やそのようなことも少ないだろう。

そういう意味では、書籍で読めることには一定の価値があると思える。

田中からのメッセージ

最後に田中の言葉をのせておく。

「このフィクションの登場人物すべてに感謝します。その人たちの存在が私の考えと行動に影響を与えてくれたのだから。

いずれの日か、どの分野においても、技術者が実体験をもとにした物語を書くことを躊躇せず、受け入れられる世の中になればいいなと思います。」

本連載が、このようなことを考えるきっかけになればと願っています。

おわりに

守るだけでは腑に落ちなかった。

この言葉から始まった田中の物語は、攻撃者の視点を学び、自ら手を動かし、検証を重ねる日々の記録でした。

制御システムセキュリティは、まだ生まれて20~30年の若い分野です。完璧な答えはなく、常に進化し続ける攻撃手法に対して、私たちもまた学び続けなければなりません。

大切なのは、セキュリティ対策を「自分ごと」にすること。

誰かが決めた対策を盲目的に実施するのではなく、なぜその対策が必要なのか、どのような攻撃に対して有効なのかを理解し、自ら判断する力を持つこと。

そして、その判断の根拠を記録に残すこと。

田中が24年勤めた会社を辞め、サイバーディフェンス研究所で過ごした日々は、まさにこの「自分ごと」にするための修行でした。

制御システムセキュリティに関わるすべての方へ。

攻撃を知ることで、守りが「自分ごと」になる。

その一歩を踏み出す勇気を、この物語から感じ取っていただければ幸いです。

日本の制御システム業界が100年先も生き抜けるよう、その一端をこれからも一技術者として担っていきたいと思います。

著者について

著者:安井康二

電力・制御システム分野で24年、設計・開発に従事。 制御システムを「作る側」の技術者として現場を経験した後、2019年よりサイバーディフェンス研究所に参画。 OTセキュリティ研究、ペネトレーションテスト、教育活動に携わる。

所属: サイバーディフェンス研究所

本連載は、実体験をもとに再構成したフィクションです。

記事の感想や、現場で感じた疑問、困っていること、違和感などがあれば、ぜひ聞かせてください。

制御システムセキュリティに関わる方々と、それぞれの立場から感じている課題や考えを共有できたら嬉しいです。

LinkedIn: 安井康二

ご相談・お問い合わせはこちら: お問い合わせフォーム

【ご注意】 本記事は教育・啓発を目的としています。登場人物・組織は架空のものであり、記載された技術情報の悪用を推奨するものではありません。

守るだけでは腑に落ちなかった - 制御システム技術者のサイバー修行録【連載まとめ】

© 2016 - 2026 DARK MATTER / Built with Hugo / テーマ StackJimmy によって設計されています。