「サイバーセキュリティ サーベイ2019」を読み解く 社会インフラを守るために、ソリューションのオープン化が求められる
東芝のサイバーセキュリティセンター長である天野隆氏に、社会インフラを守るために必要なサイバーセキュリティ対策について伺いました。
東芝のサイバーセキュリティセンター長である天野隆氏に、社会インフラを守るために必要なサイバーセキュリティ対策について伺いました。
天野 隆 氏
株式会社東芝
技術企画部
サイバーセキュリティセンター
センター長
工場・プラントの制御システムにおける脅威動向と対策について
2010年6月に発見されたStuxnet以降、制御システムに対するセキュリティが注目され、SIer、ソリューションベンダは制御システムセキュリティの重要性を説いてきましたが、事業者側の実態としては、一部の事業者を除いて、様子見が続いていたと思います。
しかし、2017年5月のWannaCryで多数の工場が影響を受けるなど、身近でのインシデント報告が出てきていることや、社会インフラセキュリティ確保を国主導で進めていること、エネルギー業界をはじめとしてレギュレーションの制定が進んでいることなどの要因で、事業者側の意識も変わってきていると感じます。
ただし、日本の工場を例にとりますと、これまで社内ネットワークに繋がっていなかったなどの環境的なものもあるのでしょうが、工場内の制御システムに対する取組みは、まだまだという感覚を持っています。
ものづくりの企業のどこにリスクがあるかというと、工場が持っている設計データや生産データです。そこが最も脅威なのです。したがって、工場がIoTやデジラルトランスフォーメーション(DX)を背景に、ネットワークに繋がってくると、そこをいかに守るか、リスクを下げるかが、今後、取り組む中心になってくると考えています。
対策としては、3つの視点で考えなければなりません。1つはガバナンスです。担当部門がない事業者が多くあります。もう1つはセキュリティ・オペレーション。プロセスやプラットフォームという意味でも、制御システムに向けたソリューションが、まだ完全ではない。3つ目は、教育。人材もまだまだ少ないということです。
OT(Operational Technology:制御・運用技術)環境に特化した製品が多々登場していますが、まだこなれていない印象です。実際の導入に向けては事業者と連携した取組みが必要と感じています。
セキュリティの人材不足と人材育成について
これまではIT部門からの派生でセキュリティの部門ができたり、セキュリティ人材の育成がされたりしてきました。しかし、制御システムとなると、現場のラインや製品の視点が必要になるため、従来のITだけを知っていてもダメで、現場にいた技術者や設計者にセキュリティの教育をして人材を増やしていくことが必要になっていくと思います。
しかし、現場から人を異動させてセキュリティを担当させるとなると、実際にはなかなかできないという声が上がります。背景にあるのは、経営者の視点です。セキュリティをコストだと思っている経営者がまだまだ多く、セキュリティは投資だという経営者の意識改革、マネジメント層の意識改革が必要だと思っています。
企業におけるセキュリティ投資の課題
経済産業省の「サイバーセキュリティ経営ガイドライン」などの効果もあり、徐々に投資に対する姿勢も変わってきているとは感じます。しかし、製造業においては、コストという形で製品原価に上乗せされる形となるので、なかなか難しい面はあると思います。
また、比較的大きな企業は意識改革が進めば投資の余力があるので進んでいくのかもしれませんが、中小企業の場合は、なかなか投資が進まないところもあるでしょう。
しかし、大企業でも中小企業でも、リスクレベルは同じです。DXが進んでくると、サプライヤーと繋がったり、カスタマーと繋がったり、そういう繋がりが出てきます。エコシステムやバリューチェーンを作る要素が大企業だけではなくなります。繋がる企業の1つでもレベルが低いと意味がありません。したがって、中小企業の投資に対する政府からの支援などが必要になってくると感じています。
実際に、サイバー攻撃の被害は、サプライチェーンや海外の現地法人など、普段見切れていない、ガバナンスが効かないところから侵入をされています。ここはすごく大きな課題になっており、手をつけなければならない課題の1つです。
インシデント対応の課題と今後のあるべき姿とは?
インシデント対応については、経験を持っている人しか対応ができない、属人化しているというのが1つの課題だと思います。ある人に任せっきりになってしまい、複数のインシデントが発生すると、対応時間が延びてしまいます。したがって、SOAR(Security Orchestration, Automation and Response)と呼ばれるツールを活用した自動化を積極的に進めていく必要があります。
SOARに、プロセスやナレッジを入れていくと、属人化していなくても運用ができるようになります。このような基盤をまずは作り、それをグループ会社にシェアしていく、場合によってはバリューチェーンのお客様にシェアしていくことにより、人材不足の問題もクリアされると思っています。
これからは、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)をコーポレートレベルに設置するだけではなく、分社会社や事業部レベルに配置して、CISOのガバナンスで、これまでの予算とは別にサイバーセキュリティに対する予算を確保するような工夫も必要だと思います。
社会インフラにおける、特に東京五輪に向けて取り組むべきこととは?
セキュリティの対策には、迅速な情報共有の仕組みが大事だと思っています。セキュリティは競争領域ではなく、協調領域です。業界をまたいだ事業者間でのサイバーセキュリティに関する情報の共有を推進すべきだと考えています。
内閣サイバーセキュリティセンター(NISC)の「サイバーセキュリティ協議会」や、業界ごとのISAC(Information Sharing and Analysis Center)などの活動が有効ですが、今一度、迅速な情報共有の仕組みを整備しておくべきだと思っています。前述のサプライチェーン同様、どこから入ってくるかわかりません。仕組み作りが大きなイベントに向けては重要なことだと考えています。
電力・鉄道・水道・エレベータ分野のセキュリティについて
今後ますます、各企業とも、侵入されることを前提とした予知・検知をする「監視」の強化、インシデントが発生した場合の対応体制の整備が求められてくるでしょう。そのためには情報が必要です。したがって、脅威インテリジェンスのような情報を専門に提供してくれるようなベンダーとパートナーシップを組み、攻撃の予兆があるなどの情報を早めにつかみ、来る前に対応する取組みを進める必要があります。
弊社ではセキュリティ運用の高度化を目指した運用基盤として、「サイバー・ディフェンス・マネジメント・プラットフォーム」(CDMP)の構築を進めており、CDMPは、防御はある一定のレベルで、あとは監視に重点を置いたシステムになっています。
また、この分野ではサイバーセキュリティにより保護したい対象がITシステムのような情報ではなく、機器や工場で製造する製品などの物理的なものまで及びます。したがって、サイバーセキュリティだけでなく、物理セキュリティも重要になってきます。今後は、物理とサイバーを統合したセキュリティ確保や監視の仕組みが必要になると考えています。
これからはIT部門だけではなく、総務部門、たとえば入り口のドアや入退室の管理、監視カメラといった、物理セキュリティを管理している部門とサイバーセキュリティを管理している部門が一緒になって監視をしていくことが重要だと考えています。
他社とのコラボレーションのあるべき姿とは?
DXの進展により、サプライチェーンがますます複雑になっています。「サイバーフィジカルシステム」(Cyber-Physical System:CPS)で企業や国境を超えたコラボレーションが進む中、特徴のある技術やソリューションをお互いに活用したエコシステムを作り上げることが重要です。
繰り返しになりますが、セキュリティ分野は競争領域ではなく、協調領域です。したがって、情報共有の仕組みをもっと作っていきたいと思っています。それは国の働きかけであったり、コンソーシアムの働きかけであったり、最近はセキュリティベンダーがクローズドなラウンドテーブルを開催していただけることもあります。このようなクローズドな情報交換は、非常に有効ですね。
コンサルティング会社への期待は?
欧米に比べて日本はまだまだセキュリティ面では遅れていると思います。我々も日本で議論をしているよりも、海外に出て行ってコンソーシアムやカンファレンスに出席し、議論して新しい情報を仕入れるということをやっています。コンサルティング会社はグローバルの先進的な情報をお持ちですので、ぜひ、事例も含めて、日本に展開していただけると、すごくありがたいと思いますね。
セキュリティベンダーへの期待は?
弊社の場合、事業体ごとにリスクも違うので、使用しているソリューションも違っています。この部分はこちらのベンダーのソリューション、あの部分はあちらのベンダーのソリューションといったことになりますが、それらの情報を統合的に運用する必要があります。したがって、ソリューションの囲い込みではなく、ソリューションのオープン化を進めていただきたい。ぜひ、ソリューションをオープン化し、標準的に活用できるAPI(Application Programming Interface)を整備して自動化やオーケストレーションをしやすい機能にしていただきたいと願っています。
今後の社内体制のあるべき姿とは?
弊社は明確な方針を持っていまして、CIOは情報、いわゆるITインフラや企業のビジネスプロセスの管理を見ていました。それとは別にCISOを設けました。2017年10月のことです。なぜかというと、情報システムは、「こういうツールを導入したから使ってください」という、どちらかというとサービスです。しかし、セキュリティはガバナンスです。したがって、明確に情報システムとセキュリティは分けないといけない。その方針のもと、CIOではなく、CISOを設けたのです。
最近、海外のベンダー会社の方と話していると、セキュリティの下にITがあると言う。これは理想だなという気がします。セキュリティは基盤です。その上にITのツールが乗ってくる。したがって、セキュリティがもう少し前面に出ないといけないと思っています。
ここは、各社さんにも広めたいですね。
天野 隆 氏
株式会社東芝
技術企画部
サイバーセキュリティセンター
センター長
1991年、株式会社東芝入社。アンテナ、無線通信技術の研究開発に携わった後、携帯電話、タブレット、TV向けクラウドサービスの開発を経て、2013年にクラウド&ソリューション統括部長付き、2015年に東芝デジタルソリューション株式会社 技師長としてAIとセキュリティ分野の研究開発を推進。2018年より株式会社東芝 サイバーセキュリティセンター長を兼務、2019年より現職。
コンシューマからエンタープライズ、またハードウェアからソフトウェアまで幅広い研究開発、製品開発の経験、知見を活かし、デジタルトランスフォーメーションのキーテクノロジーである、AIとサイバーセキュリティの実用化、高度化に取り組んでいる。
また、東芝グループのサイバーセキュリティ戦略をリードしている。