セキュリティ
AI・IoT システムの通信経路とデータを保護する技術を解説。電力系統のサイバー防御(IDS/IPS)、TLS/SSL による暗号化通信、電子署名とハッシュ値によるデータ認証の仕組みを体系化する。
article technology ja AI・IoT システムの通信経路とデータを保護する技術を解説。電力系統のサイバー防御(IDS/IPS)、TLS/SSL による暗号化通信、電子署名とハッシュ値によるデータ認証の仕組みを体系化する。セキュリティ — 電力系統サイバー防御・暗号化通信・データ認証
AI・IoT セキュリティは、電力系統やスマートグリッドに接続された IoT デバイス・通信経路・制御データを不正アクセス・盗聴・改ざんから保護する技術体系である。電力インフラへのサイバー攻撃は、物理的な停電・機器破壊・人身事故につながる重大リスクであり、情報セキュリティと安全性が直結する産業制御システム(ICS)固有の課題に対応しなければならない。情報カットオフ 〜2025-08、confidence: medium 固定。
セキュリティの概念と重要性
AI・IoT デバイスが電力インフラに接続されることで攻撃対象が急増し、サイバー空間から物理的なインフラへの影響が現実の脅威となっている。電力 IoT 固有のセキュリティ課題は以下の通りである。
| 課題 | 内容 |
|---|---|
| 長い稼働寿命 | 変電所・工場設備は 20〜30 年稼働するため、製品サポート終了後のシステムが多数残存する |
| リアルタイム制約 | 保護継電器などの制御系は遅延許容量が数 ms であり、セキュリティ処理の過負荷が機能に影響する |
| OT/IT 境界 | 運用技術(OT)と情報技術(IT)ネットワークの接続が攻撃経路を広げる |
| 物理的影響 | 制御データの改ざんが停電・機器破損・爆発などの物理的被害につながる |
電力系統のサイバー防御
IDS/IPS(不正侵入検知・防御システム)
IDS(Intrusion Detection System)は、ネットワークトラフィックやシステムログを監視し、不審なパターンを検知してアラートを発するシステムである。IPS(Intrusion Prevention System)はさらに進んで、検知した脅威を自動的にブロックする機能を持つ。
産業制御システム(ICS/SCADA)向けの IDS は、一般的な IT ネットワーク向けとは異なるシグネチャを用い、Modbus・DNP3・IEC 61850 などの産業用プロトコルを解析して不正な制御命令を検出する。正常な操作パターン(ベースライン)との統計的な乖離を検知するアノマリーベース検知が、ゼロデイ攻撃への対応に有効である。
ファイアウォールとネットワーク分離
電力 IoT システムのセキュリティアーキテクチャでは、DMZ(非武装地帯)を挟んだ多層ファイアウォール構成が基本である。
- OT/IT ネットワーク分離:SCADA システムや PLC が接続する OT ネットワークをインターネットや企業 IT ネットワークから物理的・論理的に分離する(エアギャップまたは一方向ゲートウェイ)
- 最小権限の原則:各 IoT デバイスは業務に必要な最小限のネットワーク通信のみを許可し、不要なポート・プロトコルをすべてブロックする
- セグメンテーション:機能・セキュリティレベル別にネットワークをセグメントに分割し、一つのセグメントへの侵入が他のセグメントへ波及することを防ぐ
暗号化通信
TLS/SSL
TLS(Transport Layer Security)は、通信データを暗号化し、通信相手の認証を行うプロトコルである。HTTPS・MQTT over TLS・Modbus TCP/TLS などとして、IoT デバイスとクラウド・エッジサーバー間の通信保護に広く採用されている。
TLS のしくみは以下の通りである。
- ハンドシェイク:クライアントとサーバーが対応する暗号スイートをネゴシエートし、サーバーの証明書でサーバーの正当性を確認する
- 鍵交換:ECDHE(楕円曲線ディフィー・ヘルマン)などの鍵交換アルゴリズムで、通信セッションごとに異なるセッション鍵を安全に共有する
- 暗号化通信:AES-GCM などの対称暗号でデータを暗号化し、送信する
制約の少ないリソース(CPU・メモリ)を持つ組み込み IoT デバイスに対しては、軽量暗号ライブラリ(mbedTLS・wolfSSL など)が利用される。
認証と認可
IoT システムにおける認証には以下の方式が用いられる。
- X.509 証明書認証:デバイスごとに固有の電子証明書を発行し、PKI(公開鍵基盤)で管理する。大規模 IoT 展開では証明書の自動発行・更新・失効管理が課題となる
- 事前共有鍵(PSK):リソース制約デバイス向けに、事前に共有した秘密鍵で認証する。TLS-PSK として標準化されている
- ゼロトラストアーキテクチャ:「信頼しない、常に確認する」原則に基づき、デバイス・ユーザー・通信ごとに継続的な認証と認可を要求する
データ認証
データ認証とは、受信したデータが正当な発信元からのものであり、通信経路で改ざんされていないことを検証する技術である。電力系統では、制御命令の改ざんが機器破損・停電につながるため、データ認証は安全性の核心技術となる。
電子署名
電子署名は、送信者の秘密鍵でデータのハッシュ値を暗号化したものであり、受信者が送信者の公開鍵で復号・照合することで、データの真正性と完全性を同時に確認できる。
産業制御システムでは、IEC 62351 規格がスマートグリッドの電子署名・認証・アクセス制御の標準として整備されており、IEC 61850 GOOSE メッセージや DNP3 Secure Authentication などに適用される。
ハッシュ値と改ざん検出
暗号学的ハッシュ関数(SHA-256・SHA-3 など)は、任意のデータから固定長のハッシュ値(ダイジェスト)を生成する一方向関数である。元のデータが 1 ビットでも変わるとハッシュ値は大幅に変化する(雪崩効果)ため、ハッシュ値の比較によってデータの改ざんを高い信頼性で検出できる。
HMAC(Hash-based Message Authentication Code)は、ハッシュ関数と共有秘密鍵を組み合わせることで、データの完全性と発信元認証の両方を効率的に提供する。IoT デバイス間の軽量認証として広く採用されている。
情報カットオフ 〜2025-08、confidence: medium 固定。
Backlinks
- has_parts AI・IoT 総覧