ロゴ

IoT時代のサイバー・セキュリティ。ハッカーよりも恐ろしい脅威とは?

産業界で大型機器のインターネット接続が進むにつれ、サイバー攻撃に対する脆弱性が露呈し始めています。PwCの「Global State of Information Security Survey 2015」によれば、公益事業、石油・ガス産業、製造業、エネルギー産業における企業セキュリティ担当幹部のうち、過去12カ月の間に少なくとも1度はサイバー攻撃に見舞われたと語るのは全体の70%、今後24カ月以内に重要システムへのサイバー攻撃を想定しているセキュリティ担当の責任者は78%にのぼります。しかし、外部ハッカーの存在をも超える、インダストリアル・インターネットに対する最大の脅威は、自社システムに対する脅威を認識せず、リスク軽減のための対策もとらずに会社を脅威にさらし続けてしまう“低い社内意識”かもしれません。

たとえば、サイバー攻撃全体の40%はエネルギー産業を標的にしています。企業側も脆弱性を認識しており、フォックスイット社の調査によれば、石油・ガス産業の回答者の90%は「サイバー攻撃は迅速な対応を要する脅威である」と認めています。ところが、実際に対応策を講じているのはそのうちのわずか40%にすぎません。

サイバー・セキュリティの3つの重大な誤解
サイバー攻撃に対する準備が進まない原因はなぜでしょう。急速に進化するインダストリアル・インターネットにおけるサイバー・セキュリティについて、3つの重大な誤解が存在しているようです。その1つ目は、自社の大型機器はオンラインには接続されていないと思い込んでいること。洗練された大企業さえもきちんと把握できていないケースが多々あり、社内で認識している社員はごく一部、もしくは皆無の可能性さえあるという驚くべき状況が見受けられます。

GEの傘下にある、産業用サイバー・セキュリティの専門企業Wurldtechの社長兼CEOであり、GEインダストリアル・サイバー・セキュリティのゼネラルマネージャーを務めるポール・ロジャースは次のように話しています。「インダストリアル・インターネットについて話をしていると『インダストリアル・インターネットを本格的に取り入れ、自社設備をすべてオンライン化したら、サイバー攻撃の格好の標的にされるんじゃないですか?』という不安の声をいただきます。そんな時、私は『貴社の設備も既にオンライン化されているかもしれません。ご認識がないだけで、じつはオンライン化されている可能性が高いと思いますよ』とお話しします」

内部の人間以上に、ハッカーたちはこの状況をよく認識しています。そのため、多くの企業はサイバー攻撃を受けた後に、自社の制御技術(OT:オペレーション・テクノロジー)がどれだけオンライン化されていたか認識することになるのです。

2つ目の誤解はセキュリティそのものについて。ロジャースは「大半の企業が表向きは徹底した企業インフラの保護を行っています。でも、自社の設備は万全に保護できていると聞かされるたびに、私はものすごく不安になってしまうんですよ」と打ち明けます。なぜなら、インダストリアル・インターネットのサイバー・セキュリティ要件は、従来の情報技術(IT)の保護要件とは大きく異なっているからです。

「産業を取り巻く環境は、オフィス環境とはかけ離れています。発電プラントが3つあればその環境はまったく異なっていて、セキュリティ対策もまったく異なったものが必要になるんです」とロジャース。産業を取り巻く環境やビッグデータを共有する巨大機器は、物理的にも膨大で、かつ地理的にも広いエリアに存在し、何年もの時間をかけて構築されてきたため、企業内のコンピューターの安全性を維持するのに使うプロトコルと同じもので保護できることはまずありません。「自社の保護対策でOTの安全性を維持できていると確信しているのは、玄関をチタン製のドアで防御しながら、裏口を開けっ放しにしているようなものなんです」とロジャースは言います。

そして、最も危険なのが3つ目の誤解。
「自社のマシンがオンライン化されていることも、既存のセキュリティ対策が不十分であることも認識している。それなのに、利用可能なセキュリティ対策があることを知らないがために、行動に移せないケースです」。この結果、セキュリティの脆弱性を認識していながら、具体的な対策を講じなくなってしまうからです。

しかし、これは仕方のない発想と言えるかも知れません。インダストリアル・インターネットにおけるセキュリティ技術はここ数年で急速に発展し、2014年春にGEが傘下に収めたWurldtechやその競合のセキュリティ企業が提供している製品やサービスは、つい最近まで存在していませんでした。しかし、サイバー・セキュリティ関連の製品やサービスは目まぐるしく急速に進化を遂げています。中でも、Wurldtechは産業界に固有の要件を満たすソリューションを構築し、インダストリアル・インターネットのセキュリティ問題に立ち向かっています。

Wurldtechが開発した「OpShield」は、OTは24時間365日作動する必要があることを前提として、産業制御システムや監視制御・データ取得システム(SCADA)をダウンタイムなしで支援・保護します。これこそが、インダストリアル・インターネットと従来のITの大きな相違点。ITはセキュリティ・システムのパッチ対応やアップデートを容易にするために、定期的にシャットダウンすることが許されますが、OTはそうはいきません。そしてWurldtechのテスト・認証プログラム「Achilles」が、組織内はもちろん、設備を供給するサプライチェーン全体にわたるセキュリティの脆弱性を見つけ出し、対処します。この両者の組み合わせこそ、顧客企業のサプライチェーンのセキュリティを堅強にするための戦略的基盤であり、産業環境でのサイバー脅威を低減するカギになっています。

「製品とプロセスの両方に注意を払い何層ものプロテクションを講じる・・・といった、サイバー・セキュリティへの大局的アプローチをとることを強くお奨めします。昨今、多くの企業が設備の製造元に“サイバー・セキュリティ基準を満たしていることを証明せよ”と要求するようになりました。こうしたセキュリティ意識の高まりは喜ばしいですね」

最後に、最も重要なことは、サイバー・セキュリティには社員の継続的教育が不可欠だということ。ロジャースは「これをお読みの方々は、セキュリティプロトコルに精通しているだろうか。ご自身がサイバー脅威を引き起こす可能性があることを理解しておられるでしょうか?」と聞いています。スマートフォン、タブレット、その他の接続可能なデバイスが、一般のインターネットと同様の頻度でインダストリアル・インターネットとつながっている今、そのリスクも忘れてはなりません。例えば、洋上石油掘削装置を手掛けるWurldtechの顧客企業は、“クレンジング・ステーション”を利用しています。たとえば現場にやって来た社員が「そこのUSBジャックで充電しよう」とスマートフォンなどの小型デバイスを差し込むと、現場以外で感染したマルウェア(破壊工作ソフト)も削除。シンプルで効果的なソリューションです。

インダストリアル・インターネットの推進者であっても、接続性と脆弱性が表裏一体であることは否めません。しかし、巨大機器のネット接続を15~20%に固定して、そのほかの機器をオフラインにして効率を上げるなんてことは意味がなく、その比率をさらに下げたところで、セキュリティを実現できるわけではありません。そんな風に接続状況をコントロールするよりも、現状に甘んじてしまう妥協や、サイバー脅威対策に利用可能なソリューションを把握していない認識不足・・・といった企業側の姿勢が、企業をサイバー脅威にさらしているのです。

出典
1. Cisco/DHL, Internet of Things in Logistics (2015)
2. PwC Global State of Information Security Survey 2015
3. Unisys & Ponemon Institute research study: Critical Infrastructure: Security Preparedness and Maturity
4. U.S. Department of Homeland Security (2012)
5. Bayar, T.(2014, Oct.14). Cybersecurity in the power sector. Power Engineering International, Vol. 22/#9.