2019/12/6

産業制御システムセキュリティのいま。そしてこれから(1) 前編

  • このエントリーをはてなブックマークに追加

IoT社会の進展により、IT(情報技術)とOT(運用技術)が密接に融合した事業環境が実現した。この変化に伴い、事業運営上の新たなリスクが予見され、未然予防の観点からも、リスクの早期想定と、対応・対処が重要になる。今回はそれぞれ立場の異なる3名のスペシャリストによる対談を通じ、産業界への提言をしていただいた。

東京大学 大学院
情報理工学系研究科 教授

江崎 浩
Hiroshi Esaki

株式会社サイバーディフェンス研究所
専務理事 上級分析官

名和 利男
Toshio Nawa

三菱電機インフォメーションシステムズ株式会社
産業・サービス事業本部

氷見 基治
Motoharu Himi

  • 所属・肩書などは、2019年10月取材時のものです。

日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害




サイバーリスクは、監査機能、コーポレートガバナンスとしてのリスク管理という観点から、経営者が考えるべき課題になる

ーーまずは江崎教授より、Society 5.0、ITとOTの融合といった社会進展と環境変化を受けて、サイバーリスクについて基本的な考え方をお聞かせください。


江崎:Industry 4.0は、生産現場をIT化してコンピューターネットワークにするものでした。この段階では運用を気にかけるプロの技術者が工場にいらっしゃるから比較的対応がしやすかった面があります。しかし、Society 5.0になるともっと一般の方々を考慮する必要が出てきますので、これがシリアスな状況になるでしょう。

これを念頭に置いたうえでSociety 5.0のサイバーセキュリティでは、3つの方針を打ち出しています。1つ目は、セキュリティ・バイ・デザイン。設計段階からセキュリティを組み込むことで、作ることと運用することの両方の意味を持っています。作るところについてはかなり考えられているものの、運用面は足りないところが少なからず存在しています。例えば、SOC(セキュリティ・オペレーション・センター)を全産業にオーバーラップするように設けるところまでは提言されているものの、では実際に何かが発生したらどうするのか、というところまでは明確にはしていないのです。

2つ目には、工場や社会全体がすでにグローバル化してしまっているので、グローバル視点のコーディネーションや対応をどうするのかという課題です。

そして3つ目として、経営者の皆さんに、「これは経営課題だ」ということをわかっていただく必要があるということです。セキュリティはプロフィット部門ではなくコスト部門と受け止められがちなので、経営者にとって投資しにくいのが実情でしょう。特に、長期投資が非常に難しくなっているという近年の事情もあります。これらを解決する方法についてあちこちで議論してきましたが、やはり監査機能、コーポレートガバナンスとしてのリスク管理という観点から、経営者が考えるべき課題になるという結論に至ります。

例えば、具体的にCISO(最高情報セキュリティ責任者)を置くという話になると、残念ながら、CIO(最高情報責任者)と区別できていない企業の方々が少なくありません。CIOとCISOは分離すべきものです。経営者がそういうことをきちんと踏まえて、セキュリティ対策は会社のサスティナビリティにとって非常に重要な経営ガバナンスの要素だということを意識していただきたいのです。
その実現には技術と人の両面が必要ですが、決定的に欠けているのは人材だと思います。それも、会社を仕切っているエグゼクティブ、監査役、それに、現場をリードしていくようなエキスパート人材を、しっかりと会社として育てていく必要があるでしょう。



サイバー脅威の主体は、私たちをよく観察し、侵入口を増やしている状況

ーー次に名和さんにお聞きします。サイバーセキュリティの観点から想定されるリスクについて教えてください。


名和:リスクを適切に推定するには、サイバー脅威の主体となる側から私たちがどのように見られているのか、ということを考える必要があります。サイバーリスクへの備えの基本は、一般的な人間の認知活動とほぼ同じです。事象を認知及び判断した上で行動する。特に、行動するときに必要なのは準備態勢の保持です。そのためには通常時から、攻撃に即時対処できる処理能力を持っておく必要があります。交通安全にも同様な概念がみられます。

Society 5.0などで推進している事業の現場を眺めると、ITを設計・構築している方々の多くは最新のサイバーセキュリティの状況に明るくないように見受けられます。彼らは情報を徹底的に守るというより、生産性を向上させることに重きを置く姿勢をもっています。言葉では素晴らしい説明をしますが、それを実施するのは、委託先などの別の主体であるために、説明から受ける印象と実際に乖離するところがかなりあるのです。

サイバー脅威の主体は、このような実情をよく見ています。たとえば、重要な情報を扱うオフィスやそれを運用・処理をする施設、そして生産現場の重要な情報を扱う部門の内部に、プライベートのスマートフォンをポケットやカバンに入れたまま入室するという、十数年前ではありえないことが起きています。スマホは電波を発しますし、周囲の電波収集や音声盗聴もできます。そういうスマホをIT化された工場へ持ち込むと、アクセスさせるべきではないところに繋がってしまう恐れもあります。また、工場に隣接する駐車場からWi-Fiネットワークを乗っ取ることもできます。しかし、そういったことは目に見えませんので、対策しろと言われても実感が得られず、組織として対策を進めることが難しい。それゆえ、脅威を想定するには知見や経験が必要になるのです。

今のサイバー脅威は、レベルが上がっているだけではなく、サイバー脅威の主体が私たちをよく観察して侵入口を増やしている状況があります。つまり、私たち自身が攻撃されやすい環境や状況を作り出しているのです。以前は脆弱性が主な侵入口だと言われていましたが、工場や社会の全体がIT化すると、生産・運用プロセスのさまざまな箇所に侵入口が生まれることがあります。ましてや、これを見抜いて早期発見することは大変困難です。

そうなると、サイバー攻撃が入ってくることが前提という現実を受け入れなくてはならない。これまで当たり前だったことをそのまま続けるのではなく、状況が大きく変化した現実を率直に見て考察する覚悟が経営者にも必要です。例えていうと、諸外国には視力2.0の国家機関があるのに、日本は視力0.1という状況です。なおさら、私たちは視力を上げていかねばなりません。



IoT分野の人たちが潜在的に持つ「正常性バイアス」によるリスク

ーー名和さんのお話を聞いて、皆さまからいかがですか。


江崎:視力の例えはおもしろいですね。しかし、視力があるのに、忖度して敢えて目隠しをしている人もいるように思います。何か問題が発生すると副社長くらいまでエスカレーションされてしまうので、現場は忖度して、セキュリティインシデントではなくシステムの不具合として、セキュリティインシデントの発生を隠ぺいしてしまうことが少なくありません。

これは技術ではなく、組織の統治の問題です。トップレベルの方々が根本的な意識を変えなければ、現場の忖度もなくならないように思えます。


名和:忖度する背景に注目する必要もあると思います。いろいろな企業へ行くと、責任の所在がはっきりしないために、現場をダイナミックに変えられる司令塔がいないケースがあります。対処支援の要請があった翌日に急いで現場へ行っても、実はインシデントが発生してから2か月も経っていたりする。どうして放っておいたのかと聞くと、報告した者と報告を受けた上司が悪者になってしまうからというのです。

こういう忖度のようなものが、企業や官公庁の現場で法令違反を生む土壌になっているような気がします。


江崎:もう1つ印象的なのは環境の変化です。昔のコンピューターは大きかったけれども、今ではとても小さくなってどこでも持ち込めるようになりました。都内のある民間企業で調べた際には、一般社員ではない清掃業者の方などが、社長室などの機密性が高い場所に容易に入ることが可能な物理的な“アクセス権”を持っていました。もしも悪意を持った人が入り込んでUSBメモリくらいのサイズの電子デバイスを置いてくるだけで、簡単に社内にサイバー攻撃の“タネ”を置くことができてしまうのです。


名和:今年になって増えてきたのに国内で十分に騒がれていない事象として、スマートビルディングやスマートファクトリーにおける内部ネットワークに設置したIoT機器を悪用した攻撃、技術的にいうと、TCPのようなコネクション手順を省略したUDP※1の性質を悪用して、相当数のIoT機器に対して「送信元を偽装したリクエストを行う反射型/増幅型DDoS攻撃」があります。

UDPは通信処理にかかるコストを少なくしているため、応答性やリアルタイム性を優先する通信で使用されています。これはIoT機器に求められる要件でもあります。また、IoT機器をより安価にするために、「コネクションの確立を確認する手順や送受信されるデータの誤りや順序の違いを検出する機能」のないUDPは、必然的に選択されるものであり、同時に消費電力を減らすこともできます。そのため、IoT機器ではUDPが積極的に使用される傾向にあります。

実は、このUDPの性質を悪用したDDoS攻撃は以前から指摘されており、DNSを悪用したDDoS攻撃などは多数観測され、ネット上に分析レポートが豊富にあります。さらに、一般に法人契約の通信は高速ですので、内部ネットワークからインターネットに向けて放出されるDDoS攻撃は、これまでにないくらいの威力があり、ネット全体に悪影響を与えるレベルになりえるのです。


ーーIoT特有のポイントがあるわけですね。


江崎:根本的なことをいってしまうと、IoTに関わっている人たちはセキュリティを気にしていないように思える節があります。よそ(外部)からは入れないはずだ、通信業者やユーザーが適切な対策をやってくれるはずだと信じてしまうのが一番危ない。IT系の人たちは外からつながることを前提に作っていたので、大真面目にセキュリティ対策を考え、最新情報も追っています。しかし新しくビジネスをしようとしているIoT分野の人たちには、このような知識も意識もないことが少なくありません。


名和:今の流れでIoTを調達するのは、コストセンターであるIT部門というより、稼ぐことが第一の事業部門です。現実的には、限られた予算枠での調達というより、直近の売上アップを狙うために調達する傾向がみられます。つまり、売るほうも買うほうも売上アップというメリットが期待できるため、相乗効果が生まれるのです。しかし、両者ともコストで足を引っ張るセキュリティのことを忘れがちになります。この忘れがちというのは、「時間の経過とともに、具備すべきセキュリティが質・量ともに増大している状況に対して無関心」と指摘することもできると思います。


江崎:対策のためにルールを作っても対症療法でしかないので、やはり作る側の責任で徹底する必要があると思います。リスクに対する投資ではあるものの、セキュリティ機能を入れると検査機能も開発工数も増えるし、コストも上がる。そのことをユーザーにも理解してほしいのです。


名和:開発側からすると、IoTやOTのソフトウェア開発は非常に制約が多くておもしろくないという声を聞くことがあり、実際、OT側の人材が相対的に減少しています。そのため、第三者、現実にはさらにその下請けへ委託する状況が多くなってきています。実際、スウェーデンの防犯カメラで採用していたソフトウェアがハッキングされた事例では、脆弱性があったのは、開発段階において利用していたサードパーティのコンポーネントでした。


江崎:製品の中には自前では作っていないものがたくさん入っているので、企画や製造の現場できちんとチェックする必要があります。開発形態も企業ではなく、プログラムを個人が書いている場合もあります。コストをかけてでも、自社製品の部品がどこでどのように作られているかという、サプライチェーンとしてのサイバーセキュリティを管理すべきなのです。


名和:社会がグローバル化しているなかで安いものを調達しようとすれば、そういうことが起きるのは必然ですから、ますますチェックが必要になっていくと思います。


ーー工場を持っている企業の経営者は、これからどういうことを考えるべきでしょうか。


名和:津波や地震などの災害から会社や家族を守るように、相応のコストをかけて必要なCISOや対応組織を持つべきだと思います。一方で、国家レベルのサイバー攻撃は一事業体で守れるものではないので、守ってもらえる仕組みを作ってほしいということを業界から国にきちんと訴えるべきです。


江崎:最初は自分で守る(自助)、業界で協力をする(共助)というのもありますが、民間が自力で守るには限界があります。それを超えたときは公的なところで守る(公助)べきですし、そういうことを想定したシステムの設計と構築が必要です。いざというときに重大な役割を果たせるのは、社長よりも工場長(現場の指揮官)になると思います。


氷見:教育からはじめるのも1つの方法ではないでしょうか。三菱電機では、設備現場目線に対応し、リスクを可視化し、アセスメントから対策構築、運用までに対応した「OTGUARD※2」を2019年7月から提供しています。これを紹介すると、評価はいただくのですが、それにかかわる人の教育もセットで必要だといわれることが増えてきました。工場には生産管理本部長、工場長など現場統括責任者の立場の人がいますから、現場統括責任者の人に「設備現場の内部からのサイバー攻撃でこんなことが起こりえますよ」と見せて、セキュリティの重要性を認識してもらうことが必要だと思います。以前はITベンダー各社の中には教育部門がありましたが、今はなくなってしまいました。これを復活させて、セキュリティを含めたガバナンス教育をするサービスが日本企業には必要かもしれません。

  • ※1  UDP(User Datagram Protocol):コネクションレス型のプロトコル。通信の信頼性は保証されないが、高速な通信が可能となる。
  • ※2 「OTGUARD」は三菱電機株式会社の登録商標です。


関連コンテンツ

産業制御システムセキュリティのいま。そしてこれから
  日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(前編)
  日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(後編)
  装置の交換、OSのバージョンアップ……脆弱性対策が難しい現場がリスクを低減するには
  (準備中)どんなシステムにも必ず潜むサイバー攻撃のリスク、攻撃シナリオの先を考えたソリューションの現在形
  (準備中)IoT機器へのサイバー攻撃に対抗する4つのソリューション、イスラエル発「VDOO(ヴイドゥー)」の実力
  (準備中)セキュリティはコストではなく「投資」、利益や生産性を確保するためにいまできること


情報セキュリティコラム一覧
  https://www.dnp.co.jp/biz/theme/security/index.html

人気の記事