2019/12/6

産業制御システムセキュリティのいま。そしてこれから(1) 後編

  • このエントリーをはてなブックマークに追加

IoT社会の進展により、IT(情報技術)とOT(運用技術)が密接に融合した事業環境が実現した。この変化に伴い、事業運営上の新たなリスクが予見され、未然予防の観点からも、リスクの早期想定と、対応・対処が重要になる。今回はそれぞれ立場の異なる3名のスペシャリストによる対談を通じ、産業界への提言をしていただいた。

東京大学 大学院
情報理工学系研究科 教授

江崎 浩
Hiroshi Esaki

株式会社サイバーディフェンス研究所
専務理事 上級分析官

名和 利男
Toshio Nawa

三菱電機インフォメーションシステムズ株式会社
産業・サービス事業本部

氷見 基治
Motoharu Himi

  • 所属・肩書などは、2019年10月取材時のものです。

日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害




製造ラインだけは守れる設計思想と原理原則が必要

ーーOTの現場では「ヒト、モノ(機器)、情報」はどうなっているのでしょうか。


氷見:設備機器ラインには、現場の班長、エンジニアリング会社などの担当者が在籍し、設備機器ラインを維持していると思います。現場目線でのセキュリティ対策は、ITの技術者と協力しながら行うことが重要ですが、そこで必要となるのが「セキュリティ・バイ・デザイン」の考え方です。

Society 5.0には「コネクテッド・バイ・デザイン」が提唱されています。コネクトするからIoTが出来るのであって、そこをしっかりセキュリティを考慮してデザインしておけば、エンジニアリング会社の方も、現場目線に合わせた設計ができるはずです。結果、投資コストも現場に見合ったものになるでしょう。現実には、ITベンダーはたくさんのものを提案してきて多大な投資をさせようとしますが、今の日本の現場での適用は厳しいと思います。本当に求められているのは、設備投資の金額に見合っていて、ほかのシステムが全部止まっても製造ラインだけは動き続けるというものです。

そして、導入を判断するときに現場側ではリスクを想定した運用にあわせて調達するはずですが、まだはっきりした運用が定着していない状態で、機器を調達することは少なくありません。ITでは設備を5~6年程度で更改するという暗黙の了解がありますが、OTでは30年使うラインがあったりします。30年先の技術を予測するのは無理ですから、将来どんな技術が出てきても製造ラインだけは守れるような設計思想と原理原則が必要です。

現場目線の「リスクアセスメントデザイン」ができて、運用の「ランニングデザイン」ができ、セキュリティの定義を「セキュリティ・バイ・デザイン」でやっておく。すべてに現場目線を入れておけば、機械を入れ替えたくらいでは監査も品質も変わらないようにできるはずです。それが、ITがものづくりを助けることにつながるはずです。

サイバー攻撃により企業は淘汰されていく。生き残る企業の条件とは

ーー日本でもCISOやCSOを設置しようという動きについて、どうお考えですか。


名和:日本国内でCISOという肩書きを持った方とも、お話をさせていただく機会をよく頂いていますが、他国でCISOと呼ばれているようなスキルを持った方は国内では多くありません。経営や数字には強くても、インシデントが発生した場合に適切な対処指示や外部に向けた説明ができる経験や実務能力を保有しているとは言い難いです。

他国では、特別な経験を積んだ方がCISOになることを求められています。例えば、セキュリティ会社のCTOをしていた方や、軍や国家警察で厳しい環境の中で判断を迫られるような訓練を重ねた方々です。そういう能力保持者が民間にきてCISOになるわけです。


江崎:それは監査の問題でもありますね。日本ではCEOのいうことを聞く人を監査役に置く場合が多いし、監査といっても財務しか見ていない。サイバーセキュリティ対策においては、プロセス監査ができることが重要なのですが、そういう人材は今の日本にはなかなかいないのが実情でしょう。


名和:私は国際的なサイバーセキュリティ関連の対話に参加させていただくことがあるのですが、相手国からは、非常に分厚くて読み込んだ感じのファイルをドーンと置いて、1人で座ってどんどんしゃべってくるような方が出てきます。控えの人がいても、会議中に相談したりしません。ところが日本からは、代表者と、その後ろに4~5人が付いて出てきます。議論になっても、「これはこの者から説明させます」となって当人は詳しく話しません。

現場でも同じです。たとえば米国ではインシデントが発生すると、すぐに現場対処を積極的に支援する専任チームが稼働します。規程もそうなっていて、組織の長たる方の任務や責任が厳密に書かれています。ところが日本では、みんなで責任をどこかにやってしまう。
内閣官房組織令でも、ミッションは組織にあって、長たる方はその事務を掌理する(担当して取りまとめること)とされている。これでは、国民やミッションに対して法令上の責任を負っていないと読めてしまいます。CISOという役職の内実をとっても、制度のあり方と長年の慣習が見え隠れします。

氷見:いまの日本のガバナンスに必要なのは、会社としてすべてを話せるトップだと思います。たとえば金融機関では、現場で何か問題が起きたときの訓練があり、経営者としてどう対処するかというマニュアルがあります。それと同じことができればいいのですが、まだ難しい。ある人と話していたら「近頃セキュリティ事故が多くて困る」というのでどうしたのかと聞くと、カバンを置き忘れたとか、メールの宛先を間違えたとか、そういうレベルです。正しい情報が正しいところに行っているかという視点がないし、いろいろな情報が簡単にやり取りされている実態も把握していない。攻撃側からすればこれほどやりやすいことはないでしょう。


ーー日本ではCISOにふさわしい人材は育たないのでしょうか。


江崎:そうともいえません。先日、セキュリティやデバッグの人材派遣をしている会社の取締役と話したのですが、彼の会社では、部屋にこもっているゲーマーをいきなりサイバーセキュリティの専門家に成長させたりしています。そういう人たちは本当にゲームが好きで、勝つためにセキュリティホールを探して回るようなことをするので、特化した人材としてもすごく伸びたりします。その中から海外の情報機関に入れるくらいの人材を育てたいし、そういう人がほしい経営者だってまわりにはいるという話でした。ゲーマーは昔の日本の企業文化なんて知らないから、インパクトのある人が出てくるかもしれません。


名和:私もすべてを悲観しているわけでありません。あくまで現場の感覚からですが、ここ数年でインシデントが恐ろしい勢いで増えているので、旧来の取組みを継続したとしても、より多くの組織がサイバー攻撃による被害を深刻化させて、メディアやSNSから叩かれていくとみています。必然的な淘汰を繰り返してくことで、日本の土壌に合ったCISOを置いた企業が生き残っていくのだとみています。


江崎:政策としてはトップランナーを育てていくことが必要だと思います。最近経営者の方は工業高等専門学校(工業高専)の人をすごくほしがっています。会社の流れを変える人、今までと違う人を入れたいというのです。彼らは中学を卒業してからずっと専門技術を勉強し習得するわけですが、大学に編入したりして周りを見たときに不要だと思っていたことを知るべきだと気づいて、新しいものをどんどん吸収できる人がいる。そういう人はどんどん伸びます。だから私も楽観的ですよ。



地震や洪水、雷と同じく、ハッカーの攻撃も起こりうる

ーー逆に現場から見て、セキュリティ対策の向上についてはいかがでしょうか。


氷見:サイバー攻撃に対するリテラシーを上げていくには、現場の人たちに体感できるかたちで見てもらうことが必要でしょう。火事の訓練を4人あるいは3人1組でやるように、サイバー対策でも同様に分かる人を入れて、訓練できる場があればいいと思います。工場では火災や事故に備えて安全管理責任者が必ず任命され、ルールを作り、訓練も行います。サイバー攻撃対策をこの安全管理などのルールに新しく加え、人や機器に対して誤作動させる情報を与えるものの1つがサイバー攻撃として理解頂ければ、経営者にもわかりやすくなり、企業全体に浸透すると思います。地震や洪水、雷と同じように、ハッカーの攻撃があるというわけです。


江崎:氷見さんが紹介するOTGUARDを興味深いと思う最大のポイントは、現場だけの判断・意思決定で入れられるものであることです。もちろんトップダウンで大きなお金と労力が必要なものもありますが、現場からすると、ボスがわかってくれなくても守るべきものもあります。だから安価に適用可能なクイック・ソリューションはとても重要だと思います。


氷見:工場では現場の人たちが権限を持つわけですから、安全管理マニュアルと同じように、その人たちが自分たちだけでサイバー攻撃に対応できる仕組み作りが必要だと思います。そのときに必要な「セキュリティ・バイ・デザイン」は現場ごとに違うはずですから、運用スキームに沿ったセキュリティ対策が必要でしょう。


ーー最後に、事業活動とセキュリティ対策について展望をお聞かせください。


江崎:社長から現場まで、買う人と提供する人、それにサプライチェーンも含めて、難しいけれども対策をきちんと行うことが重要でしょう。たとえばOTGUARDのような、草の根から上がっていくツールに期待していますし、ベンダーの方々と現場で情報共有していければ良いと思います。そのためには、働く人のダイバーシティを増やし、エキスパートを尊重・尊敬して、問題を解決するシステムを作ること。加えて経営者の方々にもそういう認識を持ってもらうことが必要だと思います。


名和:自然災害のようなリスクは過去からの膨大なデータや長年の経験に裏付けられた知見を基に想定しているため、当たるケースが多くなってきているのですが、サイバー空間におけるリスクは、それらに相当するものが圧倒的に不足しているため、想定するとまず外れます。特に、最近は、マルウェアや不自然な通信の他に、正当な機能や通常の通信に紛れ込む手法が確立しつつありますが、そのような「想定外のリスク」に対する発想力が求められるでしょう。


氷見:現場が強い、カイゼン活動が強いことは、日本の特長だと思います。OTとITの両方の目線から工場と企業全体のアセスメントをしっかり実施した上で、ガイドラインに沿った最適な対策をきっちり作り上げられるはずです。そうすれば、生産ラインの品質データの改ざんもできなくなり、内部・外部からの攻撃を防御するものづくりができるように思います。

  • 「OTGUARD」は三菱電機株式会社の登録商標です。


関連コンテンツ

産業制御システムセキュリティのいま。そしてこれから
  日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(前編)
  日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(後編)
  装置の交換、OSのバージョンアップ……脆弱性対策が難しい現場がリスクを低減するには
  (準備中)どんなシステムにも必ず潜むサイバー攻撃のリスク、攻撃シナリオの先を考えたソリューションの現在形
  (準備中)IoT機器へのサイバー攻撃に対抗する4つのソリューション、イスラエル発「VDOO(ヴイドゥー)」の実力
  (準備中)セキュリティはコストではなく「投資」、利益や生産性を確保するためにいまできること


情報セキュリティコラム一覧
  https://www.dnp.co.jp/biz/theme/security/index.html

人気の記事