迫られるサイバーセキュリティ対策の"アップデート"- 東芝の取り組み

[2018/06/12 08:00]山田井ユウキ ブックマーク ブックマーク

セキュリティ

新たなセキュリティ対策には投資が必要

天野氏がセキュリティ領域で注視しているのが「デジタルトランスフォーメーション」だ。これはIoTやAIといったデジタル化によるシステムの進化のことであり、技術の進化と共に適用範囲を広げ、新しい事業価値を創造しようという潮流である。

しかし、世の中を便利に革新する一方で、デジタルトランスフォーメーションにはリスクもある。システムがオープン化され、さらにIoTなどでネットワーク接続されると、そこに攻撃者のつけ入る”隙”が生まれる可能性があるからだ。すでにスマート家電や監視カメラなどがハッキングの対象となり、攻撃を受けるケースが頻発している。今後、さらにデジタルトランスフォーメーションが進めば、被害はさらに拡大していくと思われる。

こうした時代においては、「新たなセキュリティ対策が必要」であると天野氏は強調する。

例えば、米国ではサイバーセキュリティの考え方が「重要インフラを中心とした特定機能の防御」から「サプライチェーン管理」まで拡大しており、特定から防御、検知、対応、復旧に至るまでサプライチェーン全体で対策を実施する企業が増加している。

また、欧州では重要インフラ事業者のセキュリティ対策が義務化され、ネットワークに接続する機器のセキュリティに関しては、事業者が認証・確認のためのフレームワークを自主的に整備し始めているのだ。

では日本はどうか。

実は日本でもサイバーセキュリティ基本法が整備され、産業別のセキュリティガイドラインも存在する。なかでも「経営者が認識すべき3原則」は天野氏も「経営層を説得するのにとても参考になる」と称賛する内容だ。

しかし、前述したように日本の状況はまだまだこれからといったところ。天野氏は日本のセキュリティレベルを上げるため、ドイツのインダストリアル4.0を推進する公的機関と会議を実施。「セキュア エコシステム」「セキュア コミュニケーション」「ID管理」「信頼性」の4項目に分け、課題の洗い出しを行った。

具体的には、セキュリティを必要とする領域をサイバー空間、フィジカル空間、それらをつなぐサプライチェーンという3つのレイヤーに分解し、それらに対して「組織」「人」「コンポーネント」「データ」「手順」「システム」という6要素の視点から課題を抽出したのだ。

こうした取り組みを通して天野氏が痛感するのが、サイバーセキュリティ投資の重要性だ。

日本の民間企業は欧米に比べてサイバーセキュリティへの投資額が非常に少なく、GDP比で考えても遅れを取っている状態である。現在、サイバー攻撃の脅威が増大していることを考えると、サイバーセキュリティへの投資の拡大は急務と言えるだろう。

サイバーセキュリティの企業投資と日米政府の予算

講演では、具体的な脅威と、それが引き起こす損害についても詳細な説明があった。

まずは制御システムやIoT化に対しての攻撃だが、一例としては自動車が乗っ取られるケースが考えられる。実際にあるセキュリティ研究者が実験してみたところ、走行中にエアコンやラジオのスイッチが勝手に入ったり、突然アクセルやブレーキが効かなくなったりするような遠隔操作を受け得ることが判明した。そうした攻撃を受けた場合、事故の危険性があるのはもちろん、リコールとなる可能性もあるため企業は多大な損害を覚悟しなければならない。

また、ルータや監視カメラの乗っ取りによる映像や個人情報の流出も容易に考えられる被害だ。天野氏曰く、特に監視カメラは「ハッカーが一番狙いやすいものの1つ」とのことで、主な原因はパスワードがデフォルトのままになっていることだという。

マルウェアに感染すると、ほかのデバイスを攻撃する踏み台にされることも考えられる。いずれにしても、改修コストはかかるし、製品ブランドイメージの毀損は免れない。

実際に行われたサイバー攻撃の例として、インフラ施設であるウラン工場の物理的な破壊が行われた事件が紹介された。インターネットから隔離された施設だったが、USBメモリで持ち込まれたマルウェアによって、ウラン濃縮用遠心分離機の制御が奪われ、大きな損害につながった。

もちろん、一般家庭への攻撃も十分に考えられる。例えば各家庭に設置されたスマートメータへの物理的な攻撃だ。これにより電力使用量を改ざんするなど不正行為が発生する可能性がある。メーターに限らず、誰にでも容易にアクセスできる環境下のデバイスは攻撃を受ける可能性が高い。

こうしたサイバー攻撃への備えは必要だが、対策にいくらでもコストを費やせるわけではない。「インフラの重要度や攻撃者のスキルによって対策は柔軟に変えるべき」(天野氏)であり、例えば見える化のためだけに強靭なセキュリティアーキテクチャは必要ないことも多いという。目的に合った対策を立てることがポイントなのだ。

具体的には、製品システムの層(深さ)とIoTシステムの層(広さ)の2軸で考えるべきだという。ハードウェアなのかミドルウェアなのか、それともアプリケーションなのか。IoTによって見える化しているだけなのか、それとも自動化や自立化まで視野に入れているのかといった点を考慮する必要があるだろう。

2軸の多層防御

これまでのような「製品プロテクション」から、サプライチェーンを含めた「ライフタイムプロテクション」へ。デジタルトランスフォーメーションを背景に、セキュリティ対策もアップデートを迫られている。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

攻撃者の心理を学べ! ソーシャルエンジニアリングの「手口」と「対策」

攻撃者の心理を学べ! ソーシャルエンジニアリングの「手口」と「対策」

「SNSへの何気ない投稿が攻撃者の"ネタ"になっている」と語るのは、米RSA 認証製品マーケティング担当シニアコンサルタント アイェレット・ビゲル-レビン氏だ。本稿では、「RSA Conference 2018」で同氏が解説した最新のソーシャルエンジニアリング手法についてレポートする。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
知りたい! カナコさん 皆で話そうAIのコト
教えてカナコさん! これならわかるAI入門
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る