「あたまかくして、しりかくさず」に要注意!OTセキュリティーの重要性
侵入されていることを前提とした対応、悩ましい実態も
政府は新組織「産業サイバーセキュリティ推進機構」創設の方針を固め、ホワイトハッカー育成などにあたることを発表した。
世界ではこれまでも、物理的な施設や設備を対象にしたマルウェア(悪意あるコードの総称)による、さまざまなサイバー攻撃が発生している。例えば、2015年にはウクライナの電力インフラが「BlackEnergy」というマルウェアの攻撃に襲われ、22.5万世帯が4日間にわたる停電被害を受けた。
発電所や送電網、各種交通機関など、重要インフラが被害を受ければ大惨事につながりかねまない。2020年のオリンピック開催を控え、物理的ダメージを与えるサイバーテロへの対策を急ぐ日本政府。遠目に眺めている場合ではないだろう。
産業界においては、経営効率や競争力を高めるためにIoT活用の必要性が叫ばれている。例えば製造業なら、工場内の機器や設備のインターネット接続が急速に進む。
財務会計、人事、給与といった基幹システムなどいわゆる“IT”領域のサイバー・セキュリティはしっかり備えている企業も、製造系つまり“OT(オペレーション・テクノロジー)”領域のセキュリティはというと・・。
突然だが、GoogleともBeingとも異なる検索エンジン「SHODAN」をご存じだろうか。その存在は、米国では何年も前から多くのメディアで報じられており、SHODANの検索対象は極めてシンプルで、ずばり、インターネットに接続された機器の情報だ。
例えば冷蔵庫やウェブカメラ、オフィスのルーター、はたまた産業機器のコントロールパネル、医療機器など、検索可能な機器情報は少なくとも5億台以上に及び、その検索結果には、機器のIPアドレスや稼働するロケーション情報がはっきりと表示されている。
少し検索してみれば、あまりにも無防備に(おそらく無自覚に)重要な情報をさらけ出している企業がどれほど多いかに気付かされ、背筋が寒くなる。
IoT導入と同時に忘れてはならないのがセキュリティ対策だ。あらゆる機器がインターネットに繋がるということは、それだけ攻撃や感染の対象となりうるポイントが増えるということ。
「たとえば多くの生産工場は、石油や薬品を扱うことも多い。OT(オペレーション・テクノロジー)、すなわち工場設備などに悪意のハッカーが侵入して工業用ロボットへのコマンドを書き換えたり、ウイルスが制御装置を襲ったりしたらどうなるか。生産計画が狂うだけでなく、爆発や死傷者の発生といった深刻な物理被害の可能性さえ考えられる」ー。米ゼネラル・エレクトリック(GE)デジタルでセキュリティ部門の事業開発部長を務めるトリワイ・チョンチャナ氏はこう話す。
「ITセキュリティが対象とする情報システムとは対照的に、OTセキュリティの対象であるインフラや生産設備は、攻撃を受けたからといって急停止できないことも多い。超高熱環境の製鉄所などは、設備を急停止すれば設備の損壊を招いてしまう。一般的なメーカーであっても、生産停止によって取引先を失ったり、下請け企業が倒産してしまう、ことにも発展しかねない」(チョンチャナ氏)
「多くの企業にとって、事業継続性が非常に重要であり、守るべきものは設備ではなく事業継続性そのもの。サイバー・セキュリティ対策は、技術課題というよりも、経営課題として位置づけられるべきものだと言える」とチョンチャナ氏。
諸外国と比べた日本の状況について注視すべき問題がある。現在の日本では、大半の企業においてOTセキュリティに関する責任の所在が明確になっていない。サイバー攻撃の発生数が少なく平和であることは喜ぶべきことだが、危機意識が諸外国に比べ低いためか、体制と対策の整備が遅れてしまっているのが実情。被害を未然に防ぐことができないばかりか、仮に被害を受けた時にも迅速に対処することができない。
IoT化は今後も加速していく。政府もIoTを経済成長の重要要素として位置付け、投資を強化している。やがてIoTが中堅・中小企業にも浸透すれば、日本経済を担う一大基盤となることだろう。
チョンチャナは氏は、課題先進国と言われる日本においてはIoTがその解決の大きな手助けになると言う。「日本の発展を支えてきた“ものづくり”の伝統は素晴らしい。日本人は工夫を凝らしながら、長年にわたって生産性向上を続けてきた。でも、少子高齢化とともに労働人口が減少するこれからの日本では、製造現場のチームプレイのような、人手に頼ることは難しくなる。海外で工場を展開しようにも、現地スタッフに日本人と同じことを求めることはきっと難しい」と。
これまでは人の行動で繋がっていた製造プロセスや知見を、電子的につなげ、進化させるのがIoT、インダストリアル・インターネット。経験や勘をデータに変換して蓄積し、高度解析やAIによる自律制御を図ることでいっそう洗練されたオペレーションの仕組みを築き、かつ、人手に頼らずとも継承していくことができるだろう。
だからこそ、日本の財産でもあるオペレーション現場を、サイバー攻撃やウイルス感染から守らなければならない。「今日の企業は、オンラインだけでなく物理層に至るまで多層防御を図り、サプライチェーン全体でセキュリティ対策を講じる必要がある。感染した場合の対応のシミュレーションに至るまで、セキュリティ対策を取ることが重要だ」とチョンチャナ氏。
すでに世界では、IEC62443など制御システム向けのセキュリティ国際標準を定める動きも出はじめたほか、今年、米ガートナーが注目すべきIoT技術の筆頭に「IoTセキュリティ」を挙げている。
GEは、インダストリアル・インターネットを推進すると同時に企業のOTセキュリティ対策をサポートすべく、この分野の専門企業であるWurldtechを傘下に収めた。そのサービスは、顧客企業の機器・設備を24時間365日ダウンタイムなく稼働できるようにすることを前提としている。
具体的には、産業制御システムや監視制御・データ取得システム(SCADA)と組み合わせて異常の有無をモニタリングする「OpShield(オプシールド)」と、サプライチェーン全体のセキュリティの脆弱性を見つけ出して対処するWurldtechのテスト・認証プログラム「Achilles(アキレス)」の組み合わせ、顧客企業のOT設備を守る。
80-90年代、企業はバックオフィスのITセキュリティ導入を成功させた。今度は、その成功例を工場や倉庫などの“現場”まで持ち出すフェーズ。真のサイバー・セキュリティ対策を講じることで、顧客が恐れずに新たな競争に挑んでいけるようになる。
世界ではこれまでも、物理的な施設や設備を対象にしたマルウェア(悪意あるコードの総称)による、さまざまなサイバー攻撃が発生している。例えば、2015年にはウクライナの電力インフラが「BlackEnergy」というマルウェアの攻撃に襲われ、22.5万世帯が4日間にわたる停電被害を受けた。
発電所や送電網、各種交通機関など、重要インフラが被害を受ければ大惨事につながりかねまない。2020年のオリンピック開催を控え、物理的ダメージを与えるサイバーテロへの対策を急ぐ日本政府。遠目に眺めている場合ではないだろう。
産業界においては、経営効率や競争力を高めるためにIoT活用の必要性が叫ばれている。例えば製造業なら、工場内の機器や設備のインターネット接続が急速に進む。
財務会計、人事、給与といった基幹システムなどいわゆる“IT”領域のサイバー・セキュリティはしっかり備えている企業も、製造系つまり“OT(オペレーション・テクノロジー)”領域のセキュリティはというと・・。
GoogleともBeingとも異なる検索エンジン
突然だが、GoogleともBeingとも異なる検索エンジン「SHODAN」をご存じだろうか。その存在は、米国では何年も前から多くのメディアで報じられており、SHODANの検索対象は極めてシンプルで、ずばり、インターネットに接続された機器の情報だ。
例えば冷蔵庫やウェブカメラ、オフィスのルーター、はたまた産業機器のコントロールパネル、医療機器など、検索可能な機器情報は少なくとも5億台以上に及び、その検索結果には、機器のIPアドレスや稼働するロケーション情報がはっきりと表示されている。
少し検索してみれば、あまりにも無防備に(おそらく無自覚に)重要な情報をさらけ出している企業がどれほど多いかに気付かされ、背筋が寒くなる。
IoT導入と同時に忘れてはならないのがセキュリティ対策だ。あらゆる機器がインターネットに繋がるということは、それだけ攻撃や感染の対象となりうるポイントが増えるということ。
トリワイ・チョンチャナ氏(GEデジタル OTサイバーセキュリティ 事業開発部長)東京大学にて博士号(工学)を取得したのち、米国のIT通信企業の日本法人にてITサービス営業を担当した。その後、Worldtechに移り2016年にGEデジタルに参加
生産設備は攻撃を受けても急停止できない
「たとえば多くの生産工場は、石油や薬品を扱うことも多い。OT(オペレーション・テクノロジー)、すなわち工場設備などに悪意のハッカーが侵入して工業用ロボットへのコマンドを書き換えたり、ウイルスが制御装置を襲ったりしたらどうなるか。生産計画が狂うだけでなく、爆発や死傷者の発生といった深刻な物理被害の可能性さえ考えられる」ー。米ゼネラル・エレクトリック(GE)デジタルでセキュリティ部門の事業開発部長を務めるトリワイ・チョンチャナ氏はこう話す。
「ITセキュリティが対象とする情報システムとは対照的に、OTセキュリティの対象であるインフラや生産設備は、攻撃を受けたからといって急停止できないことも多い。超高熱環境の製鉄所などは、設備を急停止すれば設備の損壊を招いてしまう。一般的なメーカーであっても、生産停止によって取引先を失ったり、下請け企業が倒産してしまう、ことにも発展しかねない」(チョンチャナ氏)
「多くの企業にとって、事業継続性が非常に重要であり、守るべきものは設備ではなく事業継続性そのもの。サイバー・セキュリティ対策は、技術課題というよりも、経営課題として位置づけられるべきものだと言える」とチョンチャナ氏。
日本企業の問題は責任者が明確になっていないこと
諸外国と比べた日本の状況について注視すべき問題がある。現在の日本では、大半の企業においてOTセキュリティに関する責任の所在が明確になっていない。サイバー攻撃の発生数が少なく平和であることは喜ぶべきことだが、危機意識が諸外国に比べ低いためか、体制と対策の整備が遅れてしまっているのが実情。被害を未然に防ぐことができないばかりか、仮に被害を受けた時にも迅速に対処することができない。
IoT化は今後も加速していく。政府もIoTを経済成長の重要要素として位置付け、投資を強化している。やがてIoTが中堅・中小企業にも浸透すれば、日本経済を担う一大基盤となることだろう。
製造現場のチームプレイは通用しなくなる
チョンチャナは氏は、課題先進国と言われる日本においてはIoTがその解決の大きな手助けになると言う。「日本の発展を支えてきた“ものづくり”の伝統は素晴らしい。日本人は工夫を凝らしながら、長年にわたって生産性向上を続けてきた。でも、少子高齢化とともに労働人口が減少するこれからの日本では、製造現場のチームプレイのような、人手に頼ることは難しくなる。海外で工場を展開しようにも、現地スタッフに日本人と同じことを求めることはきっと難しい」と。
これまでは人の行動で繋がっていた製造プロセスや知見を、電子的につなげ、進化させるのがIoT、インダストリアル・インターネット。経験や勘をデータに変換して蓄積し、高度解析やAIによる自律制御を図ることでいっそう洗練されたオペレーションの仕組みを築き、かつ、人手に頼らずとも継承していくことができるだろう。
物理層に至るまで多層防御でサプライチェーンを守る
だからこそ、日本の財産でもあるオペレーション現場を、サイバー攻撃やウイルス感染から守らなければならない。「今日の企業は、オンラインだけでなく物理層に至るまで多層防御を図り、サプライチェーン全体でセキュリティ対策を講じる必要がある。感染した場合の対応のシミュレーションに至るまで、セキュリティ対策を取ることが重要だ」とチョンチャナ氏。
すでに世界では、IEC62443など制御システム向けのセキュリティ国際標準を定める動きも出はじめたほか、今年、米ガートナーが注目すべきIoT技術の筆頭に「IoTセキュリティ」を挙げている。
先行するGEのサービス
GEは、インダストリアル・インターネットを推進すると同時に企業のOTセキュリティ対策をサポートすべく、この分野の専門企業であるWurldtechを傘下に収めた。そのサービスは、顧客企業の機器・設備を24時間365日ダウンタイムなく稼働できるようにすることを前提としている。
具体的には、産業制御システムや監視制御・データ取得システム(SCADA)と組み合わせて異常の有無をモニタリングする「OpShield(オプシールド)」と、サプライチェーン全体のセキュリティの脆弱性を見つけ出して対処するWurldtechのテスト・認証プログラム「Achilles(アキレス)」の組み合わせ、顧客企業のOT設備を守る。
80-90年代、企業はバックオフィスのITセキュリティ導入を成功させた。今度は、その成功例を工場や倉庫などの“現場”まで持ち出すフェーズ。真のサイバー・セキュリティ対策を講じることで、顧客が恐れずに新たな競争に挑んでいけるようになる。
