• TOP
  • 特集一覧
  • つながる時代の脅威に対して企業がいま取り組むべきIoTセキュリティとは? 【後編】
2018/02/20

つながる時代の脅威に対して企業がいま取り組むべきIoTセキュリティとは? 【後編】

メイン画像

様々な業種、業態のビジネスにおいて、IoTが新たな価値創造の要として期待されています。本記事では、これまでに明らかになったIoT環境におけるセキュリティインシデントの傾向から、今後IoTに取り組む企業・組織が直面し得るセキュリティ上の課題を明らかにし、行なうべきセキュリティ対策についての指針を2回に分けて示します。

つながる時代の脅威に対して企業がいま取り組むべきIoTセキュリティとは?【前編】

前回は、一般利用者に対し自社のIoT化された製品やサービスを提供する「IoT事業者」としての立場のセキュリティについて、その方向性を検討しました。後編となる本稿では、自社がユーザとしてIoT化された製品やサービスを導入し、IoTの価値を享受する「IoT利用者」の立場でのセキュリティについて検討します。

産業別システムにおけるIoTの潮流と現実化する脅威

工場内のHMIイメージ

IoTの根底には、製品やサービスの利用者の詳細な利用状況をデジタルデータとして収集し、そのデータを価値ある情報に変換して活用することで、最終的に利用者にその価値を還元するというニーズがあります。こうしたIoTの活用による新たな価値創造は、一般利用者のみならず、企業や組織でも期待されています。

例えば、製造業では、IoTを活用して製造プロセス全体の稼働状況についてより詳しい情報を収集し、運用や保守においてより適切な判断と対応を行うために、分散しているセンサやデバイス、制御システムから情報を収集し、それらを分析してビジネスに活用することが望まれています。

そこで登場したのがIIoT(産業用IoT)です。IIoTはIoTを生産現場のシステム制御や保守などの産業用途に応用したものとされています。

企業や組織におけるデジタル化は、この20~30年の間に多くの変化を遂げてきました。言うまでもなく、もっとも大きな変革がITのシステム化、そしてITシステムのインターネット接続への流れです。業務情報の処理にアプリケーションが導入され、そこで扱われる情報は、LANからWANを介してやりとりされるようになり、さらにはクラウドの活用へとシフトしています。

そして今、企業は、製造、小売、流通、公共・エネルギーといった業種特有の生産システムや保全システムをIIoT化することで、過去にIT環境のインターネット接続で実現した変革以上の成果を実現しようとしています。

この変革により、例えば産業制御システム(ICS)においては、重要データを収集および分析することで、その運用環境の安全性、信頼性、可用性を維持し、および生産性を改善するために、より正確で適切な判断が迅速に行なえるようになります。さらにこうした業種特有のシステムとITシステムがつながることで、ビジネス全体のデジタル統合が加速し、企業経営における新たな価値提供が可能になります。

IIoTの活用は、非常に多くの新たな事業機会を企業にもたらす一方、業種特有のシステムがセキュリティ上の新たな脅威にさらされるという課題も同時にもたらすことになります。すでに、IIoTにおけるセキュリティの視点での様々な調査が進んでおり、現状の課題が報告されています。

参考)

こうした中で、業種特有システムのインターネット接続におけるセキュリティ上の懸念は、昨年5月に発生した「WannaCry」や「Petya」といったランサムウェアの世界的な被害により現実のものとなりました。

「WannaCry」と「Petya」の被害事例では、世界的にも、日本国内でも、いわゆる一般的なITシステムだけでなく、病院、工場、鉄道などの特定の業種が保有する、様々な業種特有システムでの感染被害が報じられました。

「WannaCry」と「Petya」は双方とも、感染したWindows端末内のデータを暗号化して身代金を要求するランサムウェアであると同時に、Windowsのファイル共有の仕組みであるSMBv1の脆弱性「MS17-010」を利用して感染を拡大させます。いわゆる工場の制御システムなどにも、Windows OSを搭載した制御・監視機器が存在するため、こうした機器が直接的あるいは間接的にインターネット接続されていることで被害が起きたと考えられます。

全世界におけるランサムウェア「WannaCry」の検出台数月別推移(※2017年5月-9月 トレンドマイクロ調べ)

全世界におけるランサムウェア「WannaCry」の検出台数月別推移

(※2017年5月-9月 トレンドマイクロ調べ)

IIoTの実現のために、業種特有システムの標準化やデジタルが進み、インターネットにつながれば、こうしたサイバー攻撃のリスクの拡大を避けることはできません。「特殊な専用システム」だから、「クローズドの環境」だからといった、つながる以前の前提からサイバー攻撃者に狙われる可能性が低いという理由はもはや通らず、むしろ事業継続に直結するシステムであるIIoTを狙う攻撃は今後激化することが予想されます。

仮にこうしたリスクの拡大を関係者が理解し、対策を試みようとした場合でも、システムの安定稼働に向けた優先事項とのギャップという問題が起こり得ます。

例えば、ITシステムの運用担当者、セキュリティ担当者の立場からすれば、こうしたサイバー攻撃によるセキュリティリスクを軽減するためにOSやアプリケーションへの修正プログラムの適用を重視します。しかし、工場の業種特有システムといったOT(Operational Technology、運用技術)の担当者からすれば、こうした修正プログラム適用に伴う頻繁なシステム停止は、安定稼働の妨げと判断することでしょう。

両者共に、システムの安定稼働がゴールではあるにもかかわらず、そこに向けたリスク評価や対応の判断には大きなギャップが存在するのです。

IIoTで求められる3つのセキュリティアプローチとは

工場の製造ラインを見守る関係者のイメージ

こうした現状を踏まえ、企業がIIoTに取り組む際に有効なセキュリティへのアプローチとして、次の3つを提案します。

1.経営層のサイバーセキュリティに対する理解の促進

前述したリスク評価や対応の判断が共通化されない背景には、サイバーセキュリティに対する全社的な方針が整わないことも影響しているかもしれません。トレンドマイクロが2017年に実施した調査では、サイバーセキュリティを事業継続のリスクと十分に評価している経営層は全体の32%、さらに経営層がセキュリティ対策に積極的に関与しているとの回答は26%に留まっていることがわかっています。※1

こうした状況の打破にあたっては、サイバーセキュリティに関する上層部へのコミュニケーションの実施や改善が考えられます。

上層部への報告が、一定期間内のセキュリティインシデントの発生有無や、模擬訓練、従業員教育の実施報告など、形式的な内容で定常化しているようであれば、今一度そのやり方を見直してみることを推奨します。外部の識者を招いての意見交換会や、最新の技術・脅威動向に関する情報共有会のほうが、意識変革にはより効果的かもしれません。

例えば、トレンドマイクロでは、インシデント発生時の対応を疑似体験できるインシデント対応ボードゲームを無償提供しています。こうしたツールの利用は、実際のセキュリティ事故が起きた場合の訓練を疑似的に短時間で行えるだけに留まらず、ゲームを通じて自社のセキュリティ上の課題を改めて認識することもできます。さらには、実際の立場と異なる職務をゲーム内で体験することにより、インシデント対応時に必要な様々な視点を持つことができるようになり、連携の必要な関係者とのコミュニケーション向上にも役立ちます。

また、公開されている被害事例や統計データを元に、それらが自社で起きた場合のシミュレーションも有効です。他社で発生した被害事例を元に、自社に起きた場合の影響範囲を想定することで、危機意識の醸成や、問題が発生した際のイレギュラーな対応に伴うコスト意識もより具体的にうまれてくるでしょう。

2.セキュリティ人材の活用と育成

IIoTで今後起こりうるサイバー攻撃についてひとつ確実に言えるのは、攻撃者の狙いは、従来の企業のITシステムを対象としたものと変わらないという点です。IIoTを狙う攻撃者の主な目的は、金銭的利益を得ることにあります。IIoTへの攻撃は、これらの狙いをより効果的に達成するために、従来のITシステムから標的の範囲を拡大させているだけとも言えます。

従って、IIoTのシステムを保護するためにITのセキュリティ担当者が従来から持つ知見を活かすことは欠かせません。またITのセキュリティ担当者が有効な対策を提案するためには、保護すべき対象であるOTのシステムへの理解も欠かせません。

前述したインシデント対応ボードゲームなどの活用による相互理解の促進機会を具体化する試みや、定期的に部門間での情報共有を行う場を持つなど、既存の組織内の交流を活性化する試みをよりいっそう強化する必要があるでしょう。

さらに強力に連携を進めるのであれば、工場の生産設備システム等、OTの部門内にSOC(Security Operation Center)を立ち上げ、ITシステムで稼働中のSOCやCSIRT(Computer Security Incident Response Team)と連携する役割を定義するなど、組織の変革を伴う対応も視野に入れるべきです。

また、従来多くの企業でOT部門とIT部門の担当者のキャリアパスは完全に分離されていた可能性がありますが、企業としての成長を見据えた際に、特定システムでの専門性を高めるエンジニア人材の育成に留まらず、より広範なジョブローテーションなども視野に入れた自社内でのIIoTセキュリティエンジニアの育成は、今後の重要課題となるでしょう。

3.多層防御によるシステムの保護

業種特有システムにおける実際の対策においては、いかに既存システムに影響をあたえず、早期の異常検知と迅速な復旧を行なえる仕組みを実装するかがカギとなります。事業継続に直接影響があるこれらのシステムの稼働停止リスクを最小化することが最も重要であり、そのためのセキュリティの基本的な考え方が“多層防御”になります。これは、一ヶ所や単一機能でセキュリティを担保するのではなく、複数のポイントで様々な機能を使ってセキュリティを実現することにより、システムに影響を与えず、仮にシステム内に脅威が侵入したとしても、稼働停止といった最終的な被害をくいとめるというアプローチです。

いずれの場合においても、提供するデバイス、サービスに存在するセキュリティ上の不備が、IoTのエコシステム全体に影響を及ぼしかねないことと、利用者のリテラシに依存しないセキュリティ機能の提供が必須であること、この2点を念頭にデバイス、サービスのライフサイクル全体を見渡した対策の実装が必須といえます。

トレンドマイクロでは、今後拡がるIIoT環境でのセキュリティアプローチを検討する際の参考資料として、「次世代コンバージド環境におけるIIoT戦略のためのセキュリティ」を公開しました。

また、稼働中の業種特有システムにおける具体的な対策に関する参考資料として、「「安定稼働」を守る!つながる工場・組込機器向けセキュリティソリューション」を公開しています。

企業内のITシステムやその他のネットワークを介してインターネットとつながる業種特有のシステム、そしてこれらの先にあるIIoT環境における具体的なセキュリティ戦略や対策を検討する際にお役立てください。

※1:法人組織におけるセキュリティ実態調査 2017年版
実施時期:2017年6月27日~6月30日
回答者:法人組織における情報セキュリティ対策の意思決定者、およびに意思決定関与者 計1,361人 (民間企業:1,100人、官公庁自治体:261人)
手法:インターネット調査
https://www.trendmicro.com/ja_jp/about/press-release/2017/pr-20170913-01.html

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop