日経テクノロジーonline SPECIAL

【総論】新たな脅威から工場を守る、つながる時代のセキュリティ

IoT/M2Mの進展とともに製造業を進化させる動きが加速している。工場内の様々な機器をインターネットで結び、膨大な情報を活用しながら生産性を上げる取り組みだ。ここで最も大きな課題となるのがセキュリティ対策である。2014年7月7日に開催された「Factory 2014 Network & Security」では、その最新動向および最新鋭の技術が明らかになった。

IoT(Internet of Things)やM2M(Machine to Machine)が進展した際に、ものづくりの現場をセキュリティ上の脅威から守るには、どのようなテクノロジーやシステム、体制が求められるのか。膨大な量の情報が行き来する次世代工場では、どんなサイバー攻撃対策が必要なのか―。「Factory 2014 Network & Security ~ IoT/ビッグデータ時代の工場に欠かせない先進セキュリティ技術」に、最先端のテクノロジーや知見に精通したキーパーソンが結集し、次世代の製造業に求められるセキュリティ対応策を披露。製造業にかかわる企業のセキュリティ関係者を中心とした来場者は、それぞれの講演に熱心に耳を傾けていた。

サイバー攻撃は新しいステージへ

冒頭の基調講演に登壇したFFRI代表取締役社長の鵜飼裕司氏は、「サイバー攻撃の脅威は、工場に代表される社会インフラに迫ってきた」と指摘。サイバーセキュリティを取り巻く環境は新しいステージに入ったと警鐘を鳴らす。

講演では、悪意を持ったハッカーの歴史を振り返った上で、近年のサイバー攻撃事例を紹介。2005年ころから、被害者が認知できないサイバー攻撃が本格化してきたと解説する。「近年は、大きな金銭的インセンティブをベースに、攻撃技術が高度化しています」(鵜飼氏)。さらに、攻撃対象がサーバーやパソコン以外の非PCに移行していると指摘。防犯カメラやPOS(販売時点情報管理)、ATM(現金自動預け払い機)、医療機器、自動車などが攻撃対象になりつつある。製造業であれば、サイバー攻撃によって生産ラインが停止に追い込まれる、あるいは機密情報が盗まれるといった事態が、どの工場にも、いつ起きてもおかしくないという。

鵜飼氏によると、製造業におけるサイバーセキュリティのリスクは、(1)知財や機密情報などの漏洩リスク、(2)物理的な不正侵入など施設のセキュリティを回避されるリスク、(3)生産ラインにサイバー攻撃を受けるリスク、(4)自社でセキュリティ品質が不十分な製品を生産/出荷するリスク―の四つに分類できる。企業の事情によって、どのリスクにどう対処するかは変わってくるが、重要なことは現状を把握し、優先順位をつけることだ。「サイバーリスクをほかの経営リスクと一体に考えることが重要です」(鵜飼氏)。なぜなら、こうしたリスクの多くは、事業の競争優位性を維持するために生じるものであるからだ。一般の経営リスクと同様に、リスクとコストのバランスを見極めて対策を講じることが大切だと鵜飼氏は訴えた。

役員にセキュリティの責任者を(ビデオ講演 presented by デジタルアーツ)

基調講演に続いては、米Ridge-Schmidt Cyber社の共同パートナーで、米国のブッシュ政権とオバマ政権におけるセキュリティ政策のキーパーソンとして知られ、2014年6月にデジタルアーツ 海外戦略アドバイザーおよび米国子会社Final Code,Inc.の取締役に就任したHoward Schmidt氏がビデオ講演で会場にメッセージを届けた。

同氏は、製造業におけるサイバー攻撃の目的が、当初は情報の収集であったが、最近はシステム監視とプロセス制御を担うSCADA(Supervisory ControlAnd Data Acquisition )システムや製造装置の破壊になってきていると指摘。「攻撃者にハクティビストが多くなった」という。ハクティビストとは、社会的・政治的な主張を目的としたハッキングを行う者のことである。制御システムの停止を狙って、DDoS(DistributedDenial of Service attack)攻撃を加えるケースが増えていると指摘する。

近年は、制御システムにIP(インターネットプロトコル)ベースのネットワークを採用するケースが増えている。しかし、日本企業ではIPネットワークの管理部門と制御システムを管理する部門、さらには物理的なセキュリティを担当する部門の間にあまり連携がない。Schmidt氏は、それぞれに優秀な人材がいるにもかかわらず、セキュリティ対策が分断されていると指摘。これでは、統合的なリスク対策を打ち出せない。同氏は、セキュリティリスクを統合的に管理する重要性を経営者が認識し、セキュリティの責任者を役員レベルに置くべきだと訴えた。

制御機器防衛のガイドライン作成

イベントを締めくくる特別講演には、日本電気制御機器工業会(NECA)の制御システムセキュリティ研究会主査である村上正志氏が登壇し、制御システムに対する具体的な脅威について説明するとともに、NECAが作成しているガイドラインについても言及した。

同氏は、まず制御システムをターゲットとするコンピュータ・ウイルスが急増していることを、事例を交えて紹介した。典型例が、イランのウラン濃縮施設を攻撃した「Stuxnet」である。このウイルスは、何らかの経路で制御システムのネットワークに入り込んだ後、強い感染力でもって広がる。さらにウイルス同士が情報を集めたり共有したりして、一定の条件がそろったところで攻撃を開始する。

攻撃者は、インターネットにつながっている制御システムを探し出す際に、「SHODAN」という検索エンジンを使うケースが多い。SHODANの特徴は、制御システムに限らず、ウェブ・サーバーをはじめインターネットに接続している様々なICT 機器を検索対象としていることだ。これを、数多くのパスワードを高速に試すツールと組み合わせれば、制御システムにとっては大きな脅威となる。こうした攻撃に対抗するには、ユーザー、制御システムのベンダー、システム構築業者のそれぞれで対策が必要となる。

NECAでは、制御システムのセキュリティに関して設計ガイドラインを作成。さらに、制御システムのベンダー、エンドユーザーの現場担当者、経営者、メンテナンス担当者などのそれぞれを対象にしたeラーニングも用意している。

以上のほかに製造業向けにセキュリティ関連のソリューションを展開するデジタルアーツ、ファイア・アイ、トレンドマイクロ、横河電機の4社が登壇。製造業に向けた最新鋭のセキュリティ技術を解説した。「つながる時代」を迎え、製造業におけるセキュリティ対策が新たな局面に突入したことを一段と強く意識させられた、今回のFactory 2014 Network & Security。製造業のセキュリティ対策を加速させる一つのキッカケとなるかもしれない。