守りから攻めのセキュリティに - 富士通が推進する事故前提型のIoT対策とは

右から富士通サイバーセキュリティ事業戦略本部エバンジェリストの太田大州氏、同ネットワークサービス事業本部 IoTビジネス推進室商品企画部長の寺崎泰範氏

昨今、市場が拡大傾向にあるIoT。多種多様な企業が、自社の価値向上につなげるべく活用しているが、利便性を追求するあまり、セキュリティがおろそかになっている可能性も否めない。実際、マルウェア「Mirai」なども登場しており、今後IoTを活用していくためにもセキュリティ対策は、もはや喫緊の課題になりつつある。

「近年、デジタル技術の第3の波としてIoTが増加していることに加え、第4の波としてIoTで集めたデータを使用し、AIとロボティクスの活用領域も増加している。これらの技術を活用する場合、データの信憑性、可用性の面でシステムが停止することを避けなければならない」と、語るのは富士通グローバルサイバーセキュリティ部門サイバーセキュリティ事業戦略本部エバンジェリストの太田大州氏だ。

今後、求められる企業・組織としての価値

太田氏は「われわれはクラウドやモバイル、IoT、AIなどを活用し、企業のデジタルトランスフォーメーションを支援しているが、セキュリティと一体となったものを提供しなければならないため、セキュリティはセキュリティで別に考えるという話ではない。セキュリティ自体は概念が広く、われわれの事業はスマートフォンからPC、サーバ、スーパーコンピュータ、ソフトの領域と多岐にわたるため、全方位で取り組む必要がある」と力を込める。

この傾向は15年前から同じであり、同社ではセキュリティの課題は解決されていないと認識しており、新しい考え方としては「事故前提の対策」により、リスク低減を図ることに取り組んでいる。これまでのセキュリティは情報保証(IA)のみだったが、これからのセキュリティは可用性や完全性まで範囲を広げていくことが望まれているという。

これからは事故前提の対策が必要だという

太田氏は「今後、企業ではIoTにより、ビジネスを拡大していくためにセキュリティのトラブルによる事業の停止を避けなければならず、迅速な復旧など事故前提型の考え方を採用しなければならない。IPAの『情報セキュリティ10大脅威 2017』によるとIoT機器の脆弱性の顕在化が8位となり、初めてIoT機器への脅威がランクインした。これから先IoTもIPv6が主流となった際、個々のデバイスやIPアドレスが任意で決まると攻撃者からすれば、攻撃がしやすい環境となってしまう」と警鐘を鳴らす。

また、同氏は「サイバー攻撃が及ぼす経営リスクは情報漏えいだけでなく、知的財産、営業秘密情報、業務停止、そして最も懸念しているのはIoTの普及により、新しい社会のイノベーション(ex.自動運転)に対して警告を発するブラックハットからの攻撃などは、ベンダーからすると脅威になる」という。

サイバー攻撃がおよぼす経営リスク

これは、IoTが個人のものであると同時に社会を形成していることから、企業側からすれば自社のサプライチェーンをどのように守るのか、という観点が重要だとしている。現在、米国では政府調達に関するサプライチェーンについては米国国立標準技術研究所(NIST)が発行するSP 800-53の認証を要求しており、同社は日本のサプライチェーンの方向性については非常に重要だと認識している。

そのような状況を踏まえ、企業のシステムをダウンさせないために、さまざまな事前準備を施し、危機管理能力を向上させて、いかに早く復旧させるかということが今後の企業・組織の1つの価値になるという。

「Security by Design」と「Optimality by Design」のバランス

太田氏は企業・組織としてサイバー攻撃を発生させないことが必然としてあり、システムの中で何が起きているのかを可視化しなければならないが、これまでは可視化の準備をしていなかったと言及している。また、多少のログが存在していても1週間も経過すれば消失してしまうため、6～7カ月など長期間のサイバー攻撃を受けると攻撃の痕跡を探し出すことは、難しい側面があるとも語る。

同氏は「潜在的に存在するリスクを調査していく中からインシデントを導き出すとともに対応していく能力は、新しい能力として企業・組織が備えていかなければならないため、意思決定を可能とするCSIRTなど自社でリスクマネジメントができる組織を持たなければならない」と話す。

「そこで、われわれが注力しているのがエッジ&センサやモビリティ、クラウド、AI/ビッグデータなどICTの活用による価値創造を目指す『Security by Design』、サイバー攻撃、情報漏えい、不正アクセスといったセキュリティと事業継続を担保する『Optimality by Design』だ」と、同社が提唱する新しいサイバー攻撃に対する考え方について同氏は説明した。

「Security by Design」と「Optimality by Design」の概要

これからIoTが普及していく状況下においてサイバー攻撃は、同社がチャレンジする技術領域であると同時に「守りのセキュリティ」から「攻めのセキュリティ」への転換が必要になり、事故前提型の対策が求められている。

守りから攻めのセキュリティに - 富士通が推進する事故前提型のIoT対策とは

目次

今後、求められる企業・組織としての価値

「Security by Design」と「Optimality by Design」のバランス

AIが勧める、あなたのための会員限定記事

知って得するWord使いこなし術第41回 Wordの校正機能とAI校正の使い勝手を比較

軍事とIT 第660回なぜ軍は“記号”で戦うのか　NTDSからNATOまでのシンボル設計｜マン・マシン・インタフェース(9)

岩手大、クジラ肉成分「バレニン」にパーキンソン病抑制の可能性を確認

航空機の技術とメカニズムの裏側第536回機首が観音開きの輸送ヘリCH-37　なぜこんな構造になったのか

サイバーセキュリティ最前線第80回なぜ一部の障害が世界規模へ拡大するのか

ゼロからLLMプロンプトエンジニアリング第11回 OpenClawクローンのZeroClawをラズパイで活用しよう

編集部が選ぶ関連記事

IPAに聞くIoTセキュリティ - 破壊力が増したDDoS攻撃、認識を改めて

ガートナーに聞くIoTセキュリティ - 内と外ではなくセグメンテーションに分けた対策を

ラックに聞くIoTセキュリティ - メーカーは設計段階でセキュリティを考えて

パロアルトに聞くIoTセキュリティ - 攻撃は「乗っ取りとDDoS端末化」から「金銭目的」へ

関連リンク

工場ネットワークはなぜ見えない？NTT東日本「BizDriveファクトリーネットワーク」が変えるOTセキュリティ

EDRでは守れない――クラウドストライク、AI時代に向けた新製品発表

米国、ポケット型Wi-Fiも規制へ　対象拡大で何が変わる？

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第3回第3回なぜ★4でEDIが注目されやすくなるのか ―取引データと取引継続を守る“セキュリティ上の要”としてのEDI

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第2回第2回 SCS評価制度★3をEDI視点で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第1回第1回 SCS評価制度とは? — なぜEDIは無関係ではないのか

このカテゴリーについて

守りから攻めのセキュリティに - 富士通が推進する事故前提型のIoT対策とは

目次

今後、求められる企業・組織としての価値

「Security by Design」と「Optimality by Design」のバランス

AIが勧める、あなたのための会員限定記事

知って得するWord使いこなし術 第41回 Wordの校正機能とAI校正の使い勝手を比較

軍事とIT 第660回 なぜ軍は“記号”で戦うのか NTDSからNATOまでのシンボル設計｜マン・マシン・インタフェース(9)

岩手大、クジラ肉成分「バレニン」にパーキンソン病抑制の可能性を確認

航空機の技術とメカニズムの裏側 第536回 機首が観音開きの輸送ヘリCH-37 なぜこんな構造になったのか

サイバーセキュリティ最前線 第80回 なぜ一部の障害が世界規模へ拡大するのか

ゼロからLLMプロンプトエンジニアリング 第11回 OpenClawクローンのZeroClawをラズパイで活用しよう

編集部が選ぶ関連記事

IPAに聞くIoTセキュリティ - 破壊力が増したDDoS攻撃、認識を改めて

ガートナーに聞くIoTセキュリティ - 内と外ではなくセグメンテーションに分けた対策を

ラックに聞くIoTセキュリティ - メーカーは設計段階でセキュリティを考えて

パロアルトに聞くIoTセキュリティ - 攻撃は「乗っ取りとDDoS端末化」から「金銭目的」へ

関連リンク

工場ネットワークはなぜ見えない？NTT東日本「BizDriveファクトリーネットワーク」が変えるOTセキュリティ

EDRでは守れない――クラウドストライク、AI時代に向けた新製品発表

米国、ポケット型Wi-Fiも規制へ 対象拡大で何が変わる？

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策 第3回 第3回 なぜ★4でEDIが注目されやすくなるのか ―取引データと取引継続を守る“セキュリティ上の要”としてのEDI

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策 第2回 第2回 SCS評価制度★3をEDI視点で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策 第1回 第1回 SCS評価制度とは? — なぜEDIは無関係ではないのか

このカテゴリーについて

知って得するWord使いこなし術第41回 Wordの校正機能とAI校正の使い勝手を比較

軍事とIT 第660回なぜ軍は“記号”で戦うのか　NTDSからNATOまでのシンボル設計｜マン・マシン・インタフェース(9)

航空機の技術とメカニズムの裏側第536回機首が観音開きの輸送ヘリCH-37　なぜこんな構造になったのか

サイバーセキュリティ最前線第80回なぜ一部の障害が世界規模へ拡大するのか

ゼロからLLMプロンプトエンジニアリング第11回 OpenClawクローンのZeroClawをラズパイで活用しよう

米国、ポケット型Wi-Fiも規制へ　対象拡大で何が変わる？

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第3回第3回なぜ★4でEDIが注目されやすくなるのか ―取引データと取引継続を守る“セキュリティ上の要”としてのEDI

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第2回第2回 SCS評価制度★3をEDI視点で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第1回第1回 SCS評価制度とは? — なぜEDIは無関係ではないのか