テクノロジーの大きな潮流として様々な業界から注目されている「IoT」は、これまで可視化できなかった世界を見える化し、得られなかった新たな価値を生み出すテクノロジーとして期待されている。ただし、全てのものがつながることでのデメリットも当然ながら出てきている。特にセキュリティの面では十分な配慮が必要であり、中でも電気やガス、水道といった社会インフラをはじめとした領域においてIoTを活用するのであればなおさらだ。今回は、IoTにおけるセキュリティの側面から現状を概観し、制御系の基盤に適用可能なインダストリアルIoTを強力に推進する東芝デジタルソリューションズ株式会社（以下、東芝）に、IoTにおけるセキュリティに関する考え方について聞いた。

世界中のあらゆる分野において進むデジタルトランスフォーメーション（以下、DX）。DXは、ITを活用することで実世界をデジタル化し、新たな価値創造によって生活やビジネスをより良いものに変えていく概念であり、業種業態問わずデジタル化による新たな枠組み作りに取り組んでいる企業は多い。DXを加速させるためには、膨大な情報量からなるビッグデータを活用するための基盤整備とともに、これまで見えなかったものを可視化するセンシング技術としてのIoTが、きわめて重要なテクノロジーとなってくる。

そもそも、企業の業務処理に利用される情報システムは、いち早くデジタル化が進んだ領域だが、DXの大きな潮流は、製造業はもとより、エネルギーや交通、医療といった人々の生活に密着した重要インフラを支える制御システムの領域にも広がりつつある。そうなれば、情報・制御双方のシステムがIoTネットワークを媒介にして相互に連携し、新たな価値創造につながる基盤として企業の成長に貢献してくれることだろう。

東芝デジタルソリューションズ株式会社
インダストリアルICTセキュリティセンター
センター長
下田 秀一 氏

一方で、それぞれ個別に運用されてきた情報システムと制御システムがつながることで、これまで情報系が抱えてきたセキュリティリスクが、安心安全が最優先事項となる社会インフラを担う制御システムにも影響を及ぼすようになることは自明の理だ。その影響について、インダストリアルICTセキュリティセンター センター長 下田 秀一氏は「情報システムで懸念されるような情報漏えいといった被害だけでなく、電気やガス、水道といった生活インフラを破壊するような、生命にかかわるセキュリティリスクが現実の課題として顕在化しつつあるのです」と指摘する。一例を挙げると、これまで閉じた環境で利用されてきた監視カメラをIoTネットワークに接続したことで、そのカメラが持っていた脆弱性を攻撃者が悪用し、プライバシー侵害、情報漏洩のみならず、全国各地域、店舗に配置されている多数の監視カメラ自体が攻撃元となり、自社サーバの破壊はおろか、世の中のシステム全体を攻撃する、といったものだ。同様の手口でWebサービスが運営できなくなるといった事態もすでに起きている。

これは決して対岸の火事ではない。世界規模で見れば、ここ数年で社会インフラをターゲットにしたサイバー攻撃が続いており、その数は急速に増えている。例えば2016年にウクライナで発生した大停電は、電力会社が感染した未知のマルウェアによって引き起こされ、その被害は数百万世帯に及ぶ大きなインシデントとなったといわれている。他にも、医療機器や鉄道システムの脆弱性が数多く発見されるなど、重大な事故につながる可能性が専門家からも指摘されている。情報の暗号化によって身代金を要求するランサムウェアと呼ばれるマルウェアが猛威を振るい、経済活動に大きな影響を及ぼしたことは記憶に新しい。しかも、サイバー攻撃を行うためのツールがWeb上で容易に入手できるなど、ツールのコモディティ化がセキュリティリスクの高まりに拍車を掛けている状況にある。

IoTによってあらゆるものがインターネットにつながるようになった今、新たな価値を享受することと引き換えに、新たなセキュリティリスクへの対策に乗り出す必要が出てきている。

新たなセキュリティリスクに対処するためには、IoTが持つ特性やその脅威を見極めたうえで、これまで投資を進めてきた情報システムへの対策とともに、対策が十分にとられていなかった制御システム双方を包括した持続的なセキュリティを確保することが、事業継続を考えるうえでは重要だ。特に製造業の多い日本の場合、製造プロセスにて利用するIoT、いわゆるインダストリアルIoTに対するリスクを意識していく必要があるだろう。

東芝デジタルソリューションズ株式会社
インダストリアルICTセキュリティセンター
センター長附
岡田 光司 氏

ただし、情報システムと制御システムでは、セキュリティニーズの違いがあるため注意が必要だ。主に顧客情報や機密情報など情報資産の保護を念頭に置いた情報システムの場合、「機密性」「完全性」「可用性」というセキュリティ三原則の中でも「機密性」が最優先項目に挙げられる。しかし、制御システムが最優先項目とするべきは「可用性」だ。「リスク管理の対象が人やモノ、サービスにまで広がる制御システムの場合、その仕組みを止めないような仕組み作りが必要です。例えば医療機器などは、人命に影響を及ぼす可能性もあり、動かし続けることが求められます。働く人や周辺住民の健康と安全を保護しながら、機器やシステムを継続して稼働させるという、可用性の視点が重要なのです」とインダストリアルICTセキュリティセンター センター長附 岡田 光司氏は説明する。特に製造分野におけるインダストリアルIoTの領域では、可用性の意識をしっかりと持つことが求められてくる。

実際にインダストリアルIoTにおけるセキュリティ強化の動きは、海外は国家レベルで先行して取り組んでいる地域もあり、日本でも総務省がIoT機器の技術基準適合認定にセキュリティ要件も盛り込む検討を始め、経産省でも「IoTセキュリティガイドライン」の国際標準化を目指すなど国レベルでも動き出している。しかしながら、国内企業では未だセキュリティに対する意識は浸透してないのが実情のようだ。製造現場を見ても、長年にわたって生産性向上とコスト削減を続けてきたこともあり、セキュリティは単なるコストとしてしか認識していないケースも少なくないのだ。セキュリティリスクへの懸念が払しょくできなければ、インダストリアルIoTの普及に大きな影を落とすことは否定できない。その意味からも、セキュリティはIoTが進化するための重要な投資として考える必要があるだろう。

高度な技術力とその豊富なノウハウで製造業を支援し続けている東芝では、インダストリアルIoTに関する各種ソリューションを提供しているが、自社も製造業としてセキュリティ強化に向けた体制作りを積極的に行っている。その1つが、2017年10月に設置した、東芝グループのセキュリティ機能を集約した「サイバーセキュリティセンター」だ。「最高情報セキュリティ責任者であるCISO直轄の部隊として、東芝グループ全体の情報セキュリティリスクに対応するCSIRT機能に加え、東芝が顧客に提供する製品やサービスに対するセキュリティリスクマネジメントを行うPSIRT機能を統合した組織です」と岡田氏は説明する。国内外のセキュリティ関連組織やセキュリティベンダーとの窓口としても機能するなど、東芝グループにおけるセキュリティの中核組織となっており、情報システムと制御システム双方のセキュリティを意識したインダストリアルIoTセキュリティの確立を強力に推進している。

※CISO（Chief Information Security Officer）
※CSIRT（Computer Security Incident Response Team）
※PSIRT（Product Security Incident Response Team）

また東芝では、組織体制の面だけでなく、インダストリアルIoTに適用できるセキュリティ運用のコンセプトとして「セキュリティライフタイムプロテクション」と呼ばれる独自の指針を策定。これは情報システムにおいて規定されている情報セキュリティマネジメントのようなもので、インダストリアル領域でのIoTに特化して策定されているのが特長の1つとなっている。「セキュリティをあらかじめ設計に組み込む“Security by Design”を意識することは重要ですが、製品が出荷した後に新たな脅威が発見されることもあります。つまり、製品出荷後からセキュリティは相対的に劣化していくことになり、最初の防御だけでセキュリティを担保するのは現実的に難しい」と岡田氏。

新たに打ち出したセキュリティライフタイムプロテクションでは、想定外の使われ方も含めて常に監視を行うことで早期に検知し、その影響を最小限におさえることで、事業復旧を迅速に行うことが可能な運用を意識したコンセプトだ。実際には、「設計・防御」「運用監視・予測検知」「インシデント対応・復旧」「評価・検証」というPDCAサイクルを回すことで、インダストリアルIoTにおけるセキュリティ対策を可能にしている。セキュリティの継続的な強化により、ビジネスを止めることのない可用性の高い基盤運用となっている。

東芝のセキュリティライフタイムプロテクション

あらゆるものがネットワークにつながるIoTが広く普及するなかで、新たなセキュリティリスクへの対策が必要になるなど、その負の側面も浮き彫りになっている。それでも、企業が生き残るために欠かせない新たな価値創造をもたらすテクノロジーへの対応は、もはや避けては通れないものになっている。次回は、そんなIoTセキュリティへの具体的なアプローチとともに、東芝が提供するインダストリアルIoTのソリューションについて詳しく見ていきたい。

インダストリアルIoTの現在地 - 東芝デジタルソリューションズ：後編