ロゴ

防衛省・自衛隊出身のGE社員が解説―IoT時代のサイバー・セキュリティは「任務保証」に学べ

IoTやAIの進展とともに、あらゆる機器や設備がネットワークに繋がりそれに依存するこれからの時代。多量なモノのインターネット化は、深刻な物理的被害を引き起こすセキュリティ・リスクが増大することを意味しており、世界では、物理的被害を引き起こしたサイバー攻撃も起きています。だからといって、IoTやAIが牽引する第4次産業革命には産業や経済にとって大いに利益があり、否定すべきものではありません。会計や人事、CRMなどバックオフィスのITによる効率化にはすでに限界が見えており、あらゆる産業はOT(オペレーション・テクノロジー)に切り込む必要性に迫られているのも事実です。

では、IoT時代のサイバー空間のセキュリティに、どのように取り組むべきか。
その先駆けは、軍事・防衛の世界にあるといいます。防衛省・自衛隊、外務省で日米の安全保障やサイバー・セキュリティに携わったという異色の経歴を持ち、現在GEで安全・危機管理を担当する上村康太に聞きました。

サイバー・セキュリティ対策の新たなキーワード「任務保証」とは
2015年9月に閣議決定されたサイバー・セキュリティ戦略にも記載され、特に重要インフラのセキュリティを確保する上での基本要素になりつつある考え方“任務保証”とは、どのようなものか。米国防省が2012年に策定した“Mission Assurance Strategy(任務保証戦略)”でも表明されたこの考え方は、軍隊が「任務の達成」を確実にするためもの。上村はこう言います。「軍隊におけるミッション=任務とは『命を懸けてでも達成しなくてはならないもの』であって、一般的に使用される達成目標やゴールといったものとは重さが異なってきます。国益や人命をかけている軍隊では、任務への忠誠と、その確実な実行が求められ、勝たなければ国民の生命や財産が危うくなる。この『任務」という言葉は極めてクリティカルな意味を持つものとして捉えられます」――任務保証とは、その任務遂行に必要な能力と資産(人員、装備、施設、ネットワーク、情報、情報システム、インフラ、サプライチェーンなど)の持続性と強靭さを保護・保証するプロセス、と定義されるといいます。

上村康太|GEジャパン 安全・危機管理部長
防衛大卒業後、航空自衛隊に入隊。戦闘機部隊などを経て指揮幕僚課程、
航空幕僚監部防衛部、外務省北米局日米安全保障条約課、
防衛省内局日米防衛協力課にて勤務。2015年より現職

9.11を教訓に生まれた「任務保証」
「従来の紛争は、武器をもって武器を攻撃する、という対称性のあるものでした。しかし9.11では、武器以外のものでそれとはまた別のものを攻撃する、という“非対称性の攻撃”が起きた。ハイジャックされた民間機によって民間施設に対する攻撃を受けた米国は、たとえば軍用機で撃墜して未然に被害を極限するといった、危機管理のための有効な対応を取ることができませんでした。Mission Assurance Strategyは、こうした想定外の事態にいかに対応するかという視点に立って考案されています」と上村は説明します。「できる限り組織の“縦割り”による弊害を無くし、国防省の管轄外であっても任務遂行に必要な機能を確保し、共通の“任務”達成を中心に据えた行動を取れるように目標を設定したものです。このような非対称な戦いは、今ではサイバー空間を舞台に繰り広げられています。それも、国防や軍事に限った話ではありません」

すでにいくつも起きている、深刻な物理的ダメージを引き起こすサイバー攻撃。
2010年に起きたイランの核燃料施設へのサイバー攻撃では、マルウエアがウラン濃縮用の遠心分離機を破壊(イスラエル軍によるものといわれる)。2015年末のウクライナでは、20万世帯以上が数時間にわたる停電被害に(ロシアによるものといわれる)。さらに昨年11月末には、“BestBuy“を名乗るハッカーがドイツテレコムをサイバー攻撃。同社の顧客が使用していたDSLモデムやルーター約90万台がネットワークから断絶されたこの事件は、IoTデバイスを狙った「Mirai」というボットネット(※1)によるものとされています。攻撃元が不明確で、かつ、サイバー空間を通じて物理的なダメージを与えるこれらの事象は、まさに”非対称“な戦いと言えます。

「非対称戦は圧倒的に攻撃側が有利であり、サイバー攻撃も同じです。特に、今日頻発している重要インフラ等に対するサイバー攻撃は、終わることのないリスク。弾けたら終わりの爆弾とは違って、爆発後も拡散し脅威が持続する化学兵器や生物兵器のようなものです。情報保証を目的とするITセキュリティにおいては、守るべき“情報”が比較的明確である場合が多いため、ネットワークを強くして水際を守るという方策で凌げました。しかしOTセキュリティでは、たとえば工場の稼動を継続させるという“任務”を保証する必要があります。もしOTに対するインシデントが発生したら、その影響は時間が経つにつれどんどん蓄積されていきます。したがって、いかに迅速に、どのように対処して工場の機能を継続させるかが重要となってきます。あってはならない、ではなく起きることを想定した上で、いざ起きたらどうするか。準備、対処、リカバリーのステップのうち特にリカバリーに重点を置く必要があり、ミッション・クリティカルな社会インフラや工場設備など安易にシステム・シャットダウンできないOTの世界のセキュリティは、ITセキュリティよりもはるかに大きな課題といえます」と上村。サイバー・セキュリティは一部のいわゆるマニアックな専門家の仕事、という認識はもはや過去のものに。OTセキュリティは、組織全体で面となって対策・対応すべきものであり、それゆえに、任務保証の考え方が必要とされているのです。


軍事行動のプロセスと、IoT時代における企業のサイバー・セキュリティ対応のプロセス
企業のサイバー・セキュリティ対応に任務保証を当てはめてみるために、まず、軍事行動のプロセスについて上村が解説します。

「軍隊の行動の大前提は国益です。たとえば“国民の生存と繁栄を確保する”など。その国益に基づき、軍隊は使命を見出します。使命とは、もとは軍事用語で国益のために命を使って何かをすることであり、たとえば“わが国の領土を守る”となります。使命が生まれると、各軍はそこから基本的任務を見出します。たとえば空軍の場合であれば“侵攻する敵航空戦力の撃破”となります。様々な状況が発生して国益を脅かされることを想定し、平素から戦略・戦術を練り、部隊を訓練します。そしていざ情勢が緊迫し、特定の状況に対応する必要が出てきたら作戦計画を作ります。この作戦計画において、状況に応じて具体化された個別の“任務”を個別の部隊に割り当て、それに基づき責任関係を明確にした作戦命令(実行)を付与する流れとなります。このように、国益と使命に基づいて基本的任務が確立され、戦略・戦術を練って訓練しておき、いざ本番で個別の部隊に具体的な任務を与える。そして、部隊や隊員が、それぞれ与えられた任務を自覚し、命を懸けて基本的任務を完遂するために行動し、結果として国益・使命を達成する、というプロセスです」

では、軍隊における任務保証はどのように説明されるのか。

「国益という最終結果を導くために様々なレベルの多くのアクターが各自の“任務”を持っていて、しかもそれぞれが巧みに連携し合いながら行動することによって、初めて“基本的任務”が達成されます。たとえば、戦闘機に乗ってミサイルを発射する人もいれば、戦闘機を出撃させるために整備をする人、それだけでなく、隊員に食事を準備する人も、それぞれが“任務”を持っている。それらの任務は、“命懸け”という一つの強い意識でつながっていて、みんなが必死に頑張ることで“侵攻する敵航空戦力を撃破”することができる。この伝統的な考え方に加え、さまざまな経験を経た現在では、特に陸・海・空軍がお互いに組織の壁を超え、何十万人という規模の隊員や最先端の装備が持つ高度な能力を結びつけて(Joint Operation)任務を達成しようとしているわけです。任務保証とは、こうした多くの能力や資産を持続的かつ強靭にして、それぞれの行動目的を達成させ、結果として組織の基本的任務(経営目的)を達成することを支えるための行動様式であり、軍隊という組織の文化であるともいえます」

さらに、上村はこう付言します。
「今日の非対称戦では、これまでの軍事行動プロセスから一歩進み、自己の管轄外となる民間セクター等の機能をいかに保証していくかというチャレンジに直面しています。米国防省が2011年にMission Assurance Strategy(任務保証戦略)を発表したのも、そうした難しさが背景にあったからです。その中でも、とりわけ複雑さを増長させるのがサイバー空間。サイバー空間は、光のスピードで殆ど一瞬のうちに様々なアクターが関係者となります。軍隊がこれまで行ってきたように何十万の人や装備を結びつけたり、テロ行為に対処するのも大変ですが、今まで人類が経験してこなかったスピードで、しかも非対称な形で物理的な世界へと影響が広がる未知のドメインにおいて、行動の自由を確保しなければならない。これまで軍隊が培ってきた任務保証の文化は、まさにサイバー空間における様々な活動にも適用されるべきで、サイバー空間を活用する幅広いアクターは、任務保証の源であるひとつの“共通する強い目的意識”で連携し合うことが必要となってきます。

OTにおけるサイバー攻撃では、ITに比べ原因特定や損害規模の認識が複雑化する。
個別部門ごとに対応責任を引き受ける意思決定が遅れれば損害を拡大しかねない。
企業においても、共通の“基本的任務”のもと、組織の縦割りの弊害を越え様々なアクターが連携することが重要。
(GE Reports Japan編集部作成)

これを受けて、GE Reports Japan編集部が当てはめてみたのが上図。もちろん業種によって異なり、特に最終製品が金銭となる金融業界ではクリティカルなインパクトが生じます。しかし一方で、たとえば化学薬品を扱う工場では、制御システムのコマンドがいたずらに書き換えられれば人命を落とす災害に発展するリスクも。また、サプライチェーンが世界に広がっている今日、国を挙げてセキュリティ強化を図ったとしても、海外のサプライヤーがサイバー攻撃被害による生産停止に陥れば、発注側もその巻き沿いを食う羽目になりかねません。

「サイバー空間を巡る国際的な協調枠組みや国際法の解釈などについては国連などの国際舞台でも幾度となく議論されてはいるものの、まとまる段階にはありません。誰かが決めてくれるのを待っていては対応できません。新種のウイルスに感染しないようにマスクをするように、自己対策が賢明です。セキュリティ・リスクは企業にとっては経営リスク。大災害やパンデミックで従業員が出勤できないというケースであれ、サイバー攻撃で機械(OT)が機能不全を起こしたというケースであれ、生産や事業サービスがストップする、という結末は同じ。事業継続計画(BCP)にも盛り込み、被害発生後の影響を極極するためのオペレーションを規定する必要があるかもしれません」と上村は話しています。

要点が全く異なるITセキュリティとOTセキュリティ
OTシステムの場合、マルウエア感染などの障害検知に要する時間は平均272日
セキュリティ対策の整ったITシステムなら、その検知に要する時間は24時間以内

悪意の有無に関わらず、光速で被害を引き起こすサイバー空間の攻撃やマルウエア感染。攻撃側に圧倒的優位があるサイバー・セキュリティでは「プロテクト以上にレスポンスが重要」であることは、以前ご紹介した名和利夫氏も指摘した通り。まずはリスクを正しく認識するところから始め、“任務”を確実に遂行するための備えとして的確なソリューションを持ち、その上で実践的な演習を重ねることが重要です。たとえば東日本大震災の発生直後、自衛隊が10万人もの人員を短期間で動員したり、米軍とトモダチ作戦を展開できたのは、演習を含めた任務保証の概念が定着していたからこそ。

GEデジタルのセキュリティ部門は、OTセキュリティの国際標準認証規格を定めてきた専門企業、ワールドテック(WurldTech)との統合によって生まれた組織です。コンサルティング、戦略策定、診断、ソリューション設計と配備、認証取得から実践的な演習にいたるまで、IoT技術や産業制御システムを活用する企業のセキュリティ対策・対応を総合的にサポートしており、任務保証の考え方に沿ったセキュリティ対策と対応をお手伝いしています。

※1:遠隔操作で攻撃できるプログラム(ボット)をウイルスとして多数デバイスに送り込み、指令によって一斉攻撃を行わせるネットワークのこと。