ロゴ

サイバー・セキュリティ:名和利男氏が警鐘、IoT時代における日本の危機意識

情報漏洩によって地位陥落を余儀なくされた企業ーーこうした事例は少なからず発生しており、企業経営における「ITセキュリティ」の重要性については一定の認識があります。他方「OT(オペレーション・テクノロジー)セキュリティ」への認知や対策はというと、すでに“第4次産業革命”が現実のものになっているにも関わらず、まだまだ進まないのが日本の現実。

ネットワーク接続が増えるということは、それだけセキュリティ・ホール(抜け穴)も増えるということです。ITセキュリティの対象である情報システムとは違って、OTセキュリティの対象はインフラや工場の生産設備。マルウェア感染による制御システムの誤動作は火災や死傷者など物理的被害を引き起こす可能性もあり、企業陥落の危機がすぐそこにあることを認識しなければなりません。IoT活用と同時に「セキュリティ対策」をどのように考えるべきか。日本におけるサイバー・セキュリティの第一人者で「日本のトップガン」とも称される、株式会社サイバーディフェンス研究所 専務理事/上級分析官の名和利男氏に伺いました。

サイバー・セキュリティをめぐる、日本の危機的実態
政府も日本再興戦略2016における重要課題として位置付けているサイバー・セキュリティ。しかしそこには日本独自の問題があり、決して簡単な課題ではない、と名和氏は指摘します。

名和利男氏 | 株式会社サイバーディフェンス研究所 専務理事 上級分析官
海上自衛隊における護衛艦のCOC(戦闘情報中枢)の業務、
航空自衛隊における信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システム等の
セキュリティ担当(プログラム幹部)業務に従事した経験をもつ

まず大前提となる問題は、企業のIT活用における日本独自の状況。
「海外ではソリューションとサービスがパッケージ化されて提供されるケースが大半です。日本の企業は細かな“カスタマイズ性”を求めます。そうしたニーズに対しては、ソリューションベンダーではなく歴史的にシステム・インテグレーター(SIer)などの代理店が個別に対応してきました」と日本独自の状況を説明する名和氏は「今後、汎用的なセキュリティ・アプリケーションでは対応しきれないケースが起きてくる、という前提に立つべきです」と指摘します。

そして、IoT時代を迎えた日本にとって特に大きな問題なのが、OTセキュリティに対する意識の低さ。
地続きの隣国から侵略される脅威もなければ、治安も極めて良く「安全」な日本。でも、サイバー空間では、誰も見たことがないようなことが、国境に関係なく毎日起きています。個人であれ組織であれ、脅威の存在やその影響を理解していなければ、危機意識は持ちようがありません。脅威を感じていない経営トップが“やるぞ”と言わないため、事業部門はコストがかかるだけのセキュリティ対策をやりたがらないーーこれがOTセキュリティに対する一般的な現状です。名和氏は「まずは現状に対する正しい認識を持つこと。状況認識が行動を引き起こします。意識の高い現場担当者が異動したら元の木阿弥・・・としないためにも、経営層・中間の意思決定層・現場の監督者の3つのレイヤーが状況認識をもつことが重要です」と言います。次いで、行動を最適化するためのガイドライン策定。ここで真面目な日本人が陥るのは「全部大事だから全部やろう」という発想。名和氏は「プライオリティを明確化して、must(必須)/should(要請)/may(可能)に分けた対応を決める必要がある」と指摘します。

こんなにも身近な、OT領域のセキュリティ・リスク
ITとOTのセキュリティが全く異なることは「IoTと事業継続計画――OTセキュリティこそ“いまそこにある危機”」でもご説明したとおり。OTセキュリティ対策を講じるためには、組織・部門による立場の違いを克服する必要があると名和氏は言います。

「OT領域に置かれる産業制御システム(ICS:Industrial Control System)というのは、決して情報システムから派生したわけではありません。製造を手掛けるOTはプロフィットセンター、ITはコストセンター。両者の発想は根本的に異なります。OTをインテグレートする立場の人は、利用するITに対して安定稼動を重要視する一方、外部からのアクセスが少ない環境におかれるためセキュリティの必要性を強く感じません。特に、分業制が発達した日本では所掌業務以外のこと(セキュリティ)を勉強するモチベーションが働きづらいため、サイバー脅威に関する状況認識が出来ていません。さらに、物理的セキュリティで十分に守られるというバイアス(先入観)がかかり、結果的にITセキュリティの甘い状況が作られます」と名和氏。悪意あるハッキングやマルウェアと日々対峙している名和氏曰く、OTの世界はマルウェアにとってパラダイスのような状況に。物理セキュリティで薄く守られているだけなのに、ユーザー側はそれで大丈夫と思い込んでいることは、非常に危機的状況だと警鐘を鳴らします。

image

最近も名和氏の元に「工場の従業員が“ポケモンGO”でバッテリーを消耗したスマホを充電のためにコンベアを制御する端末PCのUSBポートにつないでしまった。USBポートをブロックすべきでしょうか」と、笑い話のようでありながら笑えない相談が舞い込んだとか。ポケモンGOでなくとも、「たとえば、製造現場のICSのソフトウェア・アップデート。本来は委託業者がアップデートモジュール等を自社でコピーした可搬型記憶媒体(USBメモリ、DVD等)を持参すべきものを、現場の情報端末PCでネット経由により可搬型記憶媒体にコピーする、というのもよくあるケースです。実はその情報端末PCがマルウェアに感染していて、可搬型記憶媒体にコピーするときにマルウェアや不正コードが混入してしまう、なんていうことは身近に起きうるリスクです」と名和氏。もし混入したマルウェア等が工場のシステムに不具合を生じさせるものであったら?・・・こうしたリスクによる損失を経営レベルで認識し、正しく事前対策を図れるかどうかが、IoT時代の事業継続性に大きく関わってきます。

「ITとOTの分野の人たちが、これまでの経緯を踏まえて対話し、解決策を導くことが重要です。昨年暮れにウクライナで起こった電力供給会社に対するサイバー攻撃による大規模停電のようなことが、日本でも起こりうるということを理解すべきです」。

名和氏によれば、IT領域で「システムの不具合や障害によるお詫び」として報告されているもののうち相当数はセキュリティ要因であるとのこと。OT領域において、明確な悪意を持って侵入したサイバー攻撃は日本ではまだ確認されていないものの、非意図的にマルウェアがシステムに入り込んだ事例は決して少なくはなく、悪意をもっていたのなら相当危険だったケースも中にはあると言います。すでに十分に大きいリスクがあることを、私たちは認識しなければなりません。

OTセキュリティは「プロテクト」ではなく「レスポンス」
今、毎日100万件以上もの新種マルウェアが生まれているとも言われます。「完璧にプロテクトするのは不可能という認識に立つべき」としたうえで、名和氏は、インシデントの発生を即座に発見し迅速かつ的確な対応を図れるようにする“レスポンス”が重要だと強調します。その第一歩は、CSIRT(Computer Security Incident Response Team)の体制構築と実務能力の確保。つまり、サイバー攻撃などのコンピューター・セキュリティ・インシデントに対応する専門チームを全部門が見渡せる位置つまり経営層の直下におき、インシデントに対応できる仕組みを整え、的確かつ迅速な判断・行動ができる状態になっておくことです。現に、金融業会やエネルギー業界などクリティカルな分野では、CSIRT体制構築の機運がみられています。「CSIRTは、IT・OT部門と密に連携して即時対応を図れるよう、日頃の「活動能力の維持のたの訓練」や「能力向上のための演習」を積んでいかなければ、実効性をもって機能すること(判断・行動)はできません」と名和氏は言います。そして「サイバー・セキュリティには広範な専門知識が求められ、かつそれを常に更新する必要があるため、興味を持って勉強し続けなければなりません。外部の専門リソースを活用し、変化する脅威に対して賢くキャッチアップすることも重要です」と名和氏。これが、国としてセキュリティ人材を育成し蓄積していくことにも繋がります。

セキュリティ・リスクの最小化策、名和氏が挙げる3つのポイント
第4次産業革命をチャンスと捉えて戦略的にIoTを活用するための「セキュリティ・リスクの最小化策」として名和氏にポイントを3つ挙げていただきました。

  1. 経営層に、脅威やリスクの認識を与えること 
    ITだけでなくOT分野でもリスクがあることを経営層に認識させることで、組織全体が一体となった取り組みを実現させる道筋を獲得する
  2. 脅威とリスクを金額換算すること 
    企業は利潤を追求する集団。その文脈のなかで、CISO(最高情報セキュリティ責任者;Chief Information Security Officer)は、ITだけでなくOT分野のリスクを放置すればどんな影響があるのかを金額に換算したうえで、経営層と認識を共通化する
  3. 継続性を担保すること 
    民間企業であれば、外部執行役員やシステム監査役など、第三者的な主体からの圧力を利用して継続的な取り組みを促す仕組みを整える

OTセキュリティは、経営層から製造現場まで、ITセキュリティよりも広範な組織を跨いで対応する必要があります。組織設計をする企業経営層や人事部門までもがIoT時代おけるサイバー・セキュリティの要点を理解していなければ、十分な対策を図ることができません。

最悪のシナリオは、日本でも起きるのか?
「たとえば鉄道業界ではCBTC(無線式列車制御システム)の導入が計画されていたり、エネルギー業界では2016年に電力小売及び2017年に都市ガスの自由化に伴い価格競争が激化しています。この影響を受けた現場では制御・計測の領域にIoTを積極的に導入してコスト削減を図ろうとしています。高度化・複雑化・過激化の一途を辿るサイバー攻撃に十分に耐え得るセキュリティ対策を、今の段階から確実に組み込んでおかなければ、制御システム(OT)に対するハッキングを許してしまい、国民の生命・身体・財産に大きな被害を生じさせかねません。5~10年以内にこうした事態が発生する可能性があることを、シリアスに考えなければなりません」と名和氏は警鐘を鳴らします。

他方で製造業も、大きな経済損失のリスクと隣り合わせです。大企業の下請け・孫請けである中小規模の事業者にとって、自前でOTセキュリティ対策を図ることはコストや人的リソースの面で非現実的です。マルウェア感染等の被害によってこうした事業者からの供給が止まれば、元請けの大企業がどんなにセキュリティ投資を図ったとしても、打撃を回避できません。日本の製造現場は物理的な安全・安心は担保されていても、ソフトウェアを守る気概が希薄であり、出荷或いは調達時における義務的基準も存在しないのが実態。名和氏も「ソフトウエア面でミニマム・リクワイアメントを強く要求する商慣習の醸成や制度の形成も急ぐべき重要課題」と指摘します。サプライチェーンが系列外や海外に拡大するIoT時代には、法律や国家間の協定も必要になるのも必至でしょう。

GE Digitalは、企業のIoT活用を支援すると同時にOTセキュリティ対策をサポートすべく、OTセキュリティの専門企業であるWurldtechを傘下に収めました。産業制御システムやSCADAと組み合わせて異常の有無を可視化してモニタリングするハードウェア製品のほか、Wurldtechが素案策定に加わった国際規格IEC62443に準拠したコンサルティング、産業機器の通信機能や開発プロセスにおける脆弱性を検査するする認証プログラム「Achilles(アキレス)」など、企業ごとのニーズに応じて経営層から現場まで組織とサプライチェーン全体を対象とする包括支援サービスを提供しており、日本のOTセキュリティの強化に貢献していきたいと考えています。