ロゴ

第4次産業革命とOTセキュリティ ― ゼロリスク主義が日本を危ぶむ!?

第4次産業革命とともに、小型デバイスだけでなく大型の工場設備まで、IoT化、つまりあらゆる「モノ」のインターネット接続が急速に進んでいます。昨年GEデジタルとNRIセキュアテクノロジーズ(以下、NRIセキュア)とは産業用システムのセキュリティ(OTセキュリティ)領域における協業を開始。デジタル技術の活用で新たな成長を狙う企業を、セキュリティの面の安心を支える具体的なソリューションを提供しています。

「日本の製造業が不死鳥のごとく復活できるチャンス」が到来
セキュリティ・ソリューションの専門企業として国内有数の実績を誇るNRIセキュア。同社が671社を対象に実施した調査「企業における情報セキュリティ実態調査2017」によれば、日本ではIoTによるビジネス変革はまだ始まったばかり。46.8%の企業がIoTに関心を示しているものの”すでに導入している”とした企業は5.5%に留まっており、自動車業界や家電業界の一部などが先行しています。

NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2017」より

しかしNRIセキュアの専門家たちは「決して日本が遅れているわけではない」と強調します。たとえば運送業界におけるテレマティクス活用など、ソフトウェアを活用した効率化は古くから日本の得意領域でもあり、十分な素地があります。サイバーセキュリティサービス事業副本部長(インタビュー当時)を務める観堂剛太郎氏は「日本の製造業が、不死鳥のように復活できるチャンスが来ている」と言います。いま世界各国がIoTやAIに活発に投資し、”デジタル・トランスフォーメーション”を促そうとしています。上級セキュリティコンサルタント(インタビュー当時)の野口大輔氏は「日本の製造業におけるIoT技術の応用としては、よく取り上げられるデジタル技術の活用で全く新しいビジネスを興すための取り組みもある一方、もともと強い製造業がその強みをさらに伸ばしていくために既存プロセス・設備を変革させるという形が主流になっていくのでは」との見解を示します。

「日本の製造業が不死鳥のように復活できるチャンス」
観堂剛太郎 氏|NRIセキュアテクノロジーズ
サイバーセキュリティサービス事業本部副本部長 兼 サイバーセキュリティサービス二部長
(所属、役職名はインタビュー当時)

野口大輔 氏|NRIセキュアテクノロジーズ
サイバーセキュリティサービス一部 上級セキュリティコンサルタント
(所属、役職名はインタビュー当時)

隕石が落ちることを心配して、足元の小石につまずいていないか
IoT技術の活用と同時に必ず考えなければならないのが、セキュリティの問題。実際、NRIセキュアに持ち込まれた相談のなかも、産業制御システム(OT)へのサイバー攻撃で工場停止に追い込まれた事案が。世界では、一般消費者が使用するIoTデバイスへのマルウェア感染によって急速に巨大ボットネットが構成され、史上空前のDDoS攻撃を引き起こした「Mirai」のような事件も起きています。こうした中、OTセキュリティへの課題意識は確実に高まってきています。

IoTを導入している企業およびIoTの導入検討をしている企業にとって
サイバー攻撃へのリスクは課題の上位に。
「企業における情報セキュリティ実態調査2017」より

観堂氏も「IoT化するOTのセキュリティ対策においても、ITと同じく”特効薬”はありません」と断言。「IoTではセキュリティ・バイ・デザイン、最初からセキュリティを考えることが重要とされています。モノが人間社会に与える影響の大きさや、セキュリティを考慮せずに出荷されたモノを後から改修することが困難である場合が多いことなどがその理由です。また、事前にリスクを低減する”予防的統制”に加え、インシデントの発生後に的確な対応をとる”発見的統制”の両面から多層防御に取り組むことが必要です」と同氏が話すとおり、すべてを事前に想定し、その対応策をすべて準備することは不可能。起きないようにするという発想だけではなく、起きたらどうするかについても、しっかり考えて備える必要があります。

そのために重要なポイントについて、観堂氏は「守るべきは事業継続性。コアのリスクは何なのかを正しく捉え、費用対効果や優先順位付けの決断が必要」と語るとともに、次のような懸念を示します。「日本は完璧を目指しがちで、完璧だと思えないと先に進めない傾向があります。極端な例えをするならば、隕石が落ちたらどうする、と発生可能性の著しく低いリスクの対策に気を取られ、本来は気付くことができるはずの現実的に対応が必須の足元の小石につまづいてしまうような状況さえあるわけです。セキュリティの専門人材が不足しているなか、経営トップが優先順位を考慮せずに要求を繰り出すようでは、セキュリティ部門が疲弊し、負のスパイラルに嵌ってしまいます」

OTにはOTのセキュリティを
そもそも、対策の優先順位が全く異なる、ITセキュリティとOTセキュリティ。ITではC・I・A(Confidentiality:機密性/Integrity:完全性/Availability:可用性)の優先順であるのに対し、稼働している設備を止めるわけに行かないOTではA・I・Cの順で、可用性が最重要に。「ITセキュリティでは”データ”を保護しながら利用することが主眼であり、人命への影響は間接的と言えます。しかし、OTセキュリティでは現実世界にリンクした”物理的なモノ”を正しく動作させることが主眼であり、問題が発生した場合に直接的にダメージが生じてしまう恐れがある。人命が直接危険にさらされることも無いとは言い切れません」と観堂氏。

(図:GEデジタル)

では、IoT化するOTへのセキュリティへの取り組みを進めるためにはどうすればよいのか。
NRIセキュアの専門家たちが第1に挙げるのは「経営層のコミットメント」。ITとOTでは管理部門が違い、思想が異なるということを経営層がきちんと理解したうえで、広範な部門を巻き込む必要があります。「たとえば製造業では、これまでは生産プロセスや品質を作り込むことで機能安全を確保する”予防的統制”を重視した開発ライフサイクルでした。今後は運用フェーズも考慮した”発見的統制”を充実させる必要が出てきます」とセキュリティコンサルタント(インタビュー当時)の勝原達也氏。「たとえば製造業のリコールを例にすると、IoT化に伴い原因になりうるものの範囲が広がるため、PSIRT(Product Security Incident Response Team、ITにおけるCSIRT)や、SoC(Security Operation Center)などにもコミットする必要性が高まっていくでしょう」

勝原達也 氏|NRIセキュアテクノロジーズ
サイバーセキュリティサービス二部 セキュリティコンサルタント
(所属、役職名はインタビュー当時)

新時代に挑む企業を『コンサルテーション+具体的ソリューション』でサポート
「我々の顧客もデジタル・トランスフォーメーションを進め、新たな価値を創造すべく様々な新領域にチャレンジしています。その顧客の新しいビジネスが安全・安心な状態で発展できるようセキュリティ面で支えたいと考えています。それがGEデジタルと組んだ理由でもあり、今後、顧客企業のOTとITの溝を埋めるお手伝いをしていきます」と話すのは、前出の観堂氏。たとえば、産業制御システムや監視制御・データ取得システム(SCADA)と組み合わせてコマンドや稼動状況を監視・モニタリングする「OpShield(オプシールド)」や、産業制御デバイスのセキュリティの脆弱性を見つけ出し、堅牢性を高めるためのテスト・認証プログラム「Achilles(アキレス)」など、今後NRIセキュアはGEデジタルのOTセキュリティ・ソリューションを、具体的かつ実効性ある『打ち手』として顧客企業に直接提供していきます。

時代の転換期、企業が勝ちに行くには”ビジネス・チャンス”獲得のための攻めと”セキュリティ”による守りのバランス感覚が求められるところ。成長に向けた本質的な議論のもとでコアのリスクを的確に把握し、適切な場所に適切な備えを講じることが重要です。NRIセキュアが誇るコンサルテーション能力と世界で実績を重ねてきたGEデジタルのセキュリティ・ソリューションの組み合わせで、日本企業のデジタル・トランスフォーメーションを支援します。