ロゴ

「あたまかくして、しりかくさず」に要注意!IoT時代、OTセキュリティの重要性

今月、政府は新組織「産業サイバーセキュリティ推進機構」創設の方針を固め、ホワイトハッカー育成などにあたることを発表しました。
世界ではこれまでも、物理的な施設や設備を対象にしたマルウェア(悪意あるコードの総称)による、さまざまなサイバー攻撃が発生しています。たとえば2015年にはウクライナの電力インフラが「BlackEnergy」というマルウェアの攻撃に襲われ、22.5万世帯が4日間にわたる停電被害を受けました。発電所や送電網、各種交通機関など、重要インフラが被害を受ければ大惨事につながりかねません。2020年のオリンピック開催を控え、物理的ダメージを与えるサイバーテロへの対策を急ぐ日本政府の動き・・・遠目に眺めている場合じゃないかもしれません!

あたまかくして、しりかくさず?
産業界においては、経営効率や競争力を高めるためにIoT活用の必要性が叫ばれています。たとえば製造業なら、工場内の機器や設備のインターネット接続が急速に進むでしょう。財務会計、人事、給与といった基幹システムなどいわゆる“IT”領域のサイバー・セキュリティはしっかり備えている企業も、製造系つまり“OT(オペレーション・テクノロジー)”領域のセキュリティはというと・・・どうでしょう?

突然ですが、GoogleともBingとも異なる検索エンジン「SHODAN」をご存じでしょうか。
その存在は、米国では何年も前から多くのメディアで報じられています。SHODANの検索対象は極めてシンプルで、ずばり、インターネットに接続された機器の情報。たとえば冷蔵庫やウェブカメラ、オフィスのルーター、はたまた産業機器のコントロールパネル、医療機器など、検索可能な機器情報は少なくとも5億台以上に及び、その検索結果には、機器のIPアドレスや稼働するロケーション情報がはっきりと表示されます。少し検索してみれば、あまりにも無防備に(おそらく無自覚に)重要な情報をさらけ出している企業がどれほど多いかに気付かされ、背筋が寒くなるほどです。

世界中のインターネット接続機器を見つけ出す検索エンジン「SHODAN」
(2013年に米国WIRED誌が報じた記事によればSHODANは2009年、
当時サンディエゴに暮らす学生だったJohn Matherly氏により創設された)
*SHODANとGEは無関係です

IoT導入と同時に忘れてはならないのがセキュリティ対策。あらゆる機器がインターネットに繋がるということは、それだけ攻撃や感染の対象となりうるポイントが増えるということです。「たとえば多くの生産工場は、石油や薬品を扱うことも多いですよね。OT(オペレーション・テクノロジー)、すなわち工場設備などに悪意のハッカーが侵入して工業用ロボットへのコマンドを書き換えたり、ウイルスが制御装置を襲ったりしたら・・・どうでしょう。生産計画が狂うだけでなく、爆発や死傷者の発生といった深刻な物理被害の可能性さえ考えられます」――GEデジタルでセキュリティ部門の事業開発部長を務めるトリワイ・チョンチャナはこう話します。「ITセキュリティが対象とする情報システムとは対照的に、OTセキュリティの対象であるインフラや生産設備は、攻撃を受けたからといって急停止できないことも多いんです。超高熱環境の製鉄所などは、設備を急停止すれば設備の損壊を招いてしまう。一般的なメーカーであっても、生産停止によって取引先を失ったり、下請け企業が倒産してしまう、なんていうことにも発展しかねません」

トリワイ・チョンチャナ(GEデジタル OTサイバーセキュリティ 事業開発部長)
東京大学にて博士号(工学)を取得したのち、米国のIT通信企業の
日本法人にてITサービス営業を担当した。
その後、Worldtechに移り2016年にGEデジタルに参加

「多くの企業にとって、事業継続性が非常に重要であり、守るべきものは設備ではなく事業継続性そのものなんですよね。サイバー・セキュリティ対策は、技術課題というよりも、経営課題として位置づけられるべきものだと言えます」と話すチョンチャナは、諸外国と比べた日本の状況について注視すべき問題があると言います。「現在の日本では、大半の企業においてOTセキュリティに関する責任の所在が明確になっていません。サイバー攻撃の発生数が少なく平和であることは喜ぶべきことですが、危機意識が諸外国に比べ低いためか、体制と対策の整備が遅れてしまっているのが実情。被害を未然に防ぐことができないばかりか、仮に被害を受けた時にも迅速に対処することができません」

IoTで日本の課題を解決
IoT化は今後も加速していくはずです。政府もIoTを経済成長の重要要素として位置付け、投資を強化しています。やがてIoTが中堅・中小企業にも浸透すれば、日本経済を担う一大基盤となることでしょう。チョンチャナは、課題先進国と言われる日本においてはIoTがその解決の大きな手助けになると言います。「日本の発展を支えてきた“ものづくり”の伝統は素晴らしいですよね。日本人は工夫を凝らしながら、長年にわたって生産性向上を続けてきました。でも、少子高齢化とともに労働人口が減少するこれからの日本では、製造現場のチームプレイのような、人手に頼ることは難しくなります。海外で工場を展開しようにも、現地スタッフに日本人と同じことを求めることはきっと難しい(苦笑)」。これまでは人の行動で繋がっていた製造プロセスや知見を、電子的につなげ、進化させるのがIoT、インダストリアル・インターネット。経験や勘をデータに変換して蓄積し、高度解析やAIによる自律制御を図ることでいっそう洗練されたオペレーションの仕組みを築き、かつ、人手に頼らずとも継承していくことができるでしょう。

だからこそ、日本の財産でもあるオペレーション現場を、サイバー攻撃やウイルス感染から守らなければなりません。「今日の企業は、オンラインだけでなく物理層に至るまで多層防御を図り、サプライチェーン全体でセキュリティ対策を講じる必要があります。感染した場合の対応のシミュレーションに至るまで、セキュリティ対策を取ることが重要です」とチョンチャナは説明します。すでに世界では、IEC62443など制御システム向けのセキュリティ国際標準を定める動きも出はじめたほか、今年、米ガートナーが注目すべきIoT技術の筆頭に「IoTセキュリティ」を挙げています。

SCADA(制御システム)に「OpShield」を組み合わせることで
設備への指令や、設備の稼働状況などを監視。
悪意のハッカーの侵入などをモニタリングする

GEは、インダストリアル・インターネットを推進すると同時に企業のOTセキュリティ対策をサポートすべく、この分野の専門企業であるWurldtechを傘下に収めました。そのサービスは、顧客企業の機器・設備を24時間365日ダウンタイムなく稼働できるようにすることを前提としています。具体的には、産業制御システムや監視制御・データ取得システム(SCADA)と組み合わせて異常の有無をモニタリングする「OpShield(オプシールド)」と、サプライチェーン全体のセキュリティの脆弱性を見つけ出して対処するWurldtechのテスト・認証プログラム「Achilles(アキレス)」の組み合わせによって、顧客企業のOT設備を守ります。

「80-90年代、企業はバックオフィスのITセキュリティ導入を成功させました。今度は、その成功例を工場や倉庫などの“現場”まで持ち出すフェーズ。真のサイバー・セキュリティ対策を講じることで、お客様が恐れずに新たな競争に挑んでいけるよう、支援したいと思っています」