既成概念にとらわれないアプローチの開発
近年、大規模インシデントを契機に、公共インフラや電力網などの重要な生活基盤がつながっていることによるリスクが改めて認識されるようになりました。大規模な混乱や経済的な損害、人命の損失を引き起こす可能性のあるエコシステムの弱点を改善するためには、産業界、政府、テクノロジー企業が「内」と「外」の両方で協力して戦略を練る必要があります。
見過ごされているエコシステムによるリスク
多くのインフラ事業者は運用オペレーションを効率化しコストを削減できるよう、ITイノベーションに積極的に取り組んでいます。このような技術革新は大きなメリットをもたらしますが、一方で、物理的セキュリティ対策に偏重してきた制御システム部門には頭の痛い問題となっています。これまでITシステムについてはサイバー攻撃の被害に合わないようさまざまな対策が採られていましたが、制御システムについては必ずしも同様の対策が検討されていませんでした。加えて、制御システムが顧客、サプライヤー等と接続されることで、サイバー被害の影響が拡大し予期せぬ結果を引き起こす可能性が高まっています。
まずは「内」からの取組みを
大企業を中心に自社システムを守るべくさまざまな検討がされていますが、十分なセキュリティ対策が施されている組織は多くはありません。世間を騒がせたランサムウェア被害の多くは防ぐことができたか、少なくとも被害を軽減することができたと考えています。このように、多くの企業は最低限のサイバーセキュリティレベルすら満たせていないのが実情です。
サイバー攻撃の封じ込めが容易となるよう、セグメンテーションによる適切なネットワーク分離は行えているでしょうか。あるいは、制御システムの脆弱性を放置したままになっていないでしょうか。サポート切れシステムの交換に十分な投資を行えているでしょうか。多くの制御システムは機能が古いままで、必要なセキュリティアップグレードが行われていないようです。
また、多くの企業では「人による問題」も発生しています。制御チームがサイバーセキュリティに精通していないこともありますが、部門長や役員が自社の制御システムに精通していない、エコシステムの依存関係を理解していないことによって対策が進まないケースも見られます。このようなケースでは、従業員への「不審なメールに注意する」といった基本的なトレーニングがなされていなかったり、サイバー攻撃への脆弱性に関連する業務上の問題や不具合を報告することも奨励されていなかったりします。
そして、「外」への拡大を
国や自治体が重要インフラに対してサイバーセキュリティ戦略を監督・調整するのは当然のことですが、しっかりと機能している政府は多くありません。例外としては、サイバー攻撃への警戒を推進している英国の政府通信本部(GCHQ)、業界標準の規定を進めている米国国土安全保障省などの機関、サイバーセキュリティ関連規制の整備を進めているシンガポールの取組みなどがあります。しかし、ほとんどの国では同様の取組みは行われていません。また、国を超えたレベルでの協力も限られています。例えば、欧州連合(EU)では、ネットワーク・情報システムの安全に関する指令(NIS指令)の更新が進められていますが、加盟国にてNIS 2ガイドラインが批准されるまでには数年を要する可能性があります。新たなサイバー脅威を各国の機関に知らせるための基本的な国境を越えた情報共有も、まだ始まったばかりです。
このような現実を考慮すると、エコシステムを保護するためには産業界のコラボレーションが重要となります。インフラ企業やテクノロジー企業がリーダーシップを発揮し共通の原則や慣行を練り上げることが必要です。このような業界全体のコンセンサスを作ることで、最終的に規制の整備につなげることも可能となります。例えば、銀行業界では、すでにこのような業界主導の取組みがなされており、欧州の大手銀行が国内外で協力してサイバーセキュリティ基準の整備や脅威情報の共有を進めています。
産業界主導のアプローチによって、現場での実体験に基づいた優れた戦略を生み出す可能性があります。現在、ほとんどの企業では、問題が発生した場合にオペレーション環境(の一部)を迅速に停止して代替プロセスに切り替えることができます。この取組みを拡張して、エコシステムレベルでリスクの特定や回避策の検討、バックアッププランのテストを行えるよう、業界、規制当局、テクノロジー企業が協働することが必要です。
「既成概念にとらわれない」効果的なアプローチを開発するには時間とコミットメントが必要ですが、業界関係者が最初の一歩を踏み出していることは心強いことです。ランサムウェア被害などが大きなニュースとなることで、経営者も「制御システムにはどの程度の対策が施されているのか」、「他社のセキュリティ被害が自社にどのように影響するのか」を把握したいと考えています。次のステップとして、重要インフラを守るために、産業界、政府、テクノロジー企業が協力することが重要です。
本稿は、KPMGインターナショナルのサイトで紹介しているレポートのサマリーとなります。
全文は下記のリンクよりご覧いただけます。
全文はこちらから(英文)
Cyber security gaps in infrastructure