ゼロトラスト、そしてその先に求められる包括的な対策とは

DNPセキュリティ連載コラム【工場ゼロトラスト】全5回シリーズ。
第4回は、『ゼロトラスト、そしてその先に求められる包括的な対策とは 』をお届けします。

前回までのコラムで、企業を取り巻く環境の変化に伴って、これまで外部との接続がない閉域網だった工場の環境にも、外部とつながるという変化が生じていることをお伝えしました。また、外部とつながった工場をサイバー攻撃から守るには「ゼロトラスト」という考え方にもとづいてセキュリティ対策を進めていくことが重要であると説明してきました。そして、ゼロトラスト化を実現する上では、「NIST SP800-207」をはじめとする世界的なセキュリティ標準・ガイドラインを参照しながら対策を進めていくことが重要であることも、ご理解いただけたと思います。

とはいえ、早速「NIST SP800-207」をざっと眺めてはみたものの「これはとても手に負えない、自社ですべての対策を取るのは無理ではないか」と感じられた方もいるのではないでしょうか。今回は、そんな不安を抱かれた方に対し、工場セキュリティに長年取り組んできたDNPのゼロトラストに対する考え方をご紹介します。

「NIST SP800-207」で求められる要素すべてを実現していこうとすると、不正アクセス管理やログ管理、不審な動きの検知、マルウェアのインストール防止、特権ID管理にインシデント対応、従業員の教育など、あれもこれもとさまざまなセキュリティ対策が求められることが分かります。ただでさえ人手が足りない中、工場のOTネットワークの安定運用に努めつつ、「テレワーク対応を」「スマート工場化に向けてこんなことができないか」といった新たな指示や業務が降ってきていることでしょう。次々と新たな対応を求められる担当者にとっては、さらにやらなければならないことが増えるのか……と、暗然たる思いに沈むのも無理はありません。

実は「NIST SP800-207」には「ゼロトラストの原則、プロセスの変更、およびテクノロジーソリューションを段階的に導入することをめざすべきである」と記されているのです。もちろん、対策をすべて実現できるならば理想的ですが、それは非常に困難なことです。

企業そして工場の現場にはそれぞれさまざまな事情があります。事業も違えばプロセスも異なりますし、予算や人手にはそれぞれ上限があり、優先すべき事業目標によってスケジュールも異なります。このため、全体を包括的に見て、できるところから一つずつ対策を積み上げていく段階的アプローチが現実的です。

そもそもゼロトラストとは、何か一つの製品やソリューションを指し示すものではなく、セキュリティに対する「考え方」です。自社にいま必要なところから少しずつ対策を整備して、最終的にはゼロトラストの考え方に沿った姿になる、それが自然な進め方だと言えるでしょう。

DNPでは、このゼロトラストに向けた第一歩として、まず、リスクアセスメントによる「現状把握」からスタートすることをお勧めしています。「何か対策しなければいけないが、何から手を付ければいいのか分からない」という不安の声をよく耳にします。確かに、自分の姿も相手の姿もよく分からないのであれば備えようがありません。具体的な弱みや脅威の姿を明らかにすることで、セキュリティ対策を取るべきところも見えてきます。

まずはアセスメントを行い、どこをめざすのかというロードマップを作成することによって、まずやるべきこと、その次にやるべきこと……という具合に、ステップごとに実施すべきことも明らかになります。自社の体力や事業内容に合わせ、例えば「いますぐ世界水準の高セキュリティ工場を実現することは無理にしても、いま必要なセキュリティ対策から始めよう」と目標を立てることで、無理なく進めることができるでしょう。その中で、「NIST SP800-207」をはじめとする各種ガイドラインを参考にしながら、適切な対策を一つひとつ積み上げていくことが重要です。

そして、ここでもう一つ見落としてはいけないポイントがあります。

こうしたセキュリティ標準・ガイドラインが規定し、推奨するのは、主にネットワーク領域やエンドポイントのセキュリティ対策ですが、それだけに限らず物理面や運用面での対策も忘れてはいけません。さまざまなヒトやモノが出入りする工場を守り、安定した操業を実現するには、ネットワーク領域での対策は一面に過ぎず、もっと包括的に対策する必要があるとDNPは考えています。

DNPは、お客さまから預かった情報をもとにさまざまな印刷物を作成しており、ときには個人情報、機微情報をお預かりすることもあります。中でも、クレジットカード、ICカードの発行という、非常に高いセキュリティが求められる事業を数十年にわたって手がけてきたことは、DNPにとって大きな価値のある経験になっています。

当たり前ですが、クレジットカードの製造部材が流出したり、カード番号などの重要情報が漏洩したりしてしまうと、カードの不正利用やクレジットカード会社の社会的信用失墜などの重大なインシデントにつながりかねません。そうした事態が起こらないよう、クレジットカードの製造に関わる工場やデータセンターに対しては、VisaやMastercardといった世界的なクレジットカードブランドから非常に高いセキュリティ水準が求められ、厳しい監査が毎年行われています。DNPではそれらをクリアするため、技術の進歩、そして脅威の動向を収集しながら、個人情報などの機微なデータを適切に取り扱えるよう対応してきました。

その経験から言えることですが、世界水準で高レベルな工場セキュリティ体制の維持・運用を実現するには、「ヒト」「モノ」「情報」の認証が欠かせません。まず、工場に関わる人があらかじめ決められた正しい人物かどうかを厳格に確認する必要があります。そして、製造設備をはじめIoT機器やロボットなど、工場の中に導入されたさまざまなモノを個体識別し、正しいモノだけがつながるよう認証することも重要になります。最後に、これらヒトとモノの間を流れる機器制御用のコマンドやパラメータ、製造設備のログなどの情報についても、改ざんが加えられておらず正しいままであることの担保も不可欠です。

実際に「ヒト」「モノ」「情報」の認証を実現していくには、例えば多要素認証を実装して工場への出入りをきちんと監視し、権限にもとづいていくつかのエリアに区分けした上で、エリアごとに権限を持った人だけが入れるようにするといった対策が求められます。使用する機器の個体識別や、接続されているネットワークの脆弱性診断も実施しなければなりません。さらに、従業員が決められた運用ルールを順守するためにさまざまな教育を実施したり、不正な侵入者を防ぐために監視カメラを設けたり、多岐にわたる追加施策が必要です。

このようにネットワークを守るだけでなく、「ヒト」「モノ」「情報」の認証を含めた包括的対策を取ることによってはじめて、真の意味での「ゼロトラスト」を実現した安全な工場になるとDNPでは考えています。「NIST SP800-207」はもちろん「NIST SP800-82」や「IEC 62443」「ISO 27001 (ISMS)」といった世界基準のガイドラインを参照し、自社のニーズや環境にあわせて必要な対策を取り入れ、かつ全体としてバランスの取れた包括的な対策になるよう少しずつステップアップしていくことが重要です。

＜脚注＞
NIST SP800-82：産業制御システム（ICS）のセキュリティを確保するためのガイダンス
IEC 62443：制御システムのセキュリティに関する国際標準
ISO 27001 (ISMS)：情報セキュリティマネジメントシステムの国際規格

（了）

第1回： マルウェアが工場を止める――もはや他人事ではないOTを巡る脅威　
第2回： なぜ工場がサイバー攻撃の被害に？ 根本的な原因と対策を考える
第3回： グローバルなガイドラインを参考に、工場のゼロトラストを理解する
第4回： ゼロトラスト、そしてその先に求められる包括的な対策とは　（現在のページ）
第5回： ICカード専門工場に見る「高セキュリティ工場」の具体例

・漫画で伝える「工場に迫る危機」動画（1分）
・Discover DNP / トレンド講座【セキュリティ】「新しい働き方」を狙うランサムウェアの脅威