製造業のサプライチェーンを標的としたサイバー攻撃が増えている。9月12日に開催された「TECH+セミナー 製造業 - SCM Day 2024 Sep. 強靭な『サプライチェーンマネジメント』Ⅱ」に東芝 技術企画部 サイバーセキュリティセンター ゼネラルマネジャーの下田秀一氏と、同 研究開発センター サイバーセキュリティ技術センター ゼネラルマネジャーの岡田光司氏が登壇。サプライチェーンのセキュリティの動向と自社の対策について話した。

増加する産業分野へのサイバー攻撃と、国レベルで進む対策

産業分野へのサイバー攻撃が増加傾向にある。2010年の制御装置のシステムを狙ったとされるStuxnetによる攻撃を皮切りに、毎年のように大型の攻撃が展開されているのだ。

ここ数年のトレンドはランサムウエア攻撃で、2017年のWannaCry、2018年のRyukなど枚挙にいとまがない。攻撃の対象となるのは海外の企業や施設だけではなく、日本国内の企業にとっても、サイバー攻撃は大きなリスクである。

下田氏によると、製造業や社会インフラのサプライチェーンを狙う攻撃のリスクは、以下の4つに大別できるという。

  • 1.サプライチェーンからの情報漏洩リスク
  • 2.サプライチェーンからの不正侵入などのリスク
  • 3.サプライヤー停止による事業継続リスク
  • 4.ソフトウエアを通じたサプライチェーンリスク
  • 「サプライチェーンのリスク対策は、リスクが広範囲にわたることを念頭に置いて取り組む必要があります」(下田氏)

    産業分野へのサイバー攻撃の増加を受け、政府も対策を進めている。2024年5月17日には、「経済安全保障推進法」の下で重要インフラ事業者の特定重要設備に対して事前審査が導入された。また、重要インフラのサイバーセキュリティ行動計画に基づく安全基準でも、サプライチェーンの観点から改訂が検討されている。そして、経済産業省の「経営ガイドラインver3.0」においても、自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であるという旨が明記された。

    世界各国も同じような方向で進んでいる。米国では政府機関に納める製品でSBOM(Software Bill of Materials、ソフトウエア版部品表)管理が義務付けられたほか、連邦政府が利用するIoT機器についてセキュリティ要件を検討中だという。欧州連合(EU)では「サイバーレジリエンス法」などデジタル製品のセキュリティ対策を重視する規制が成立する見通しだ。

    さらに、自動車、医療など産業別でも、製品のライフサイクル全体でセキュリティ対応が求められていると下田氏は話した。

    続いて下田氏は国内の新たな政策の方向性として、以下の3つを紹介した。

  • ・サイバーセキュリティ対策の実効性強化
  • 企業一社一社がセキュリティ対策のレベルを評価して可視化する

  • ・サイバーセキュリティ市場拡大に向けたエコシステムの構築
  • 情報処理安全確保支援士(通称”登録セキスペ”)の活用促進、登録人数も2030年に5万人を目指す

  • ・官民の状況把握力と対処能力の向上
  • 情報処理推進機構(IPA)におけるサイバー情報の集約と分析機能の強化

    逆T字モデルで進める東芝グループのサプライチェーン対策

    このような状況を受けて、東芝グループでもサプライチェーンのセキュリティに取り組んでいる。

    サプライヤー、調達、製造、物流、販売、運用保守、廃棄というサプライチェーンの流れにおいて東芝は製造に位置するが、「サプライヤー向けの上流、そして製造したものをお客さまに届けて稼働して、廃棄するまでの下流でも、対策が必要だと考えている」と下田氏は自社の姿勢を説明する。

    対策としては、製造部分の仕様検討→設計→開発→検査を縦に、そしてサプライチェーンを横にした「逆T字モデル」で、以下の5つで進めているという。

  • 1.セキュリティガバナンス・運用体制の構築
  • 2.人材育成・訓練
  • 3.製品セキュリティ対策とその管理
  • 4.サプライヤーのセキュリティ対策管理
  • 5.製造工場のセキュリティ対策、顧客環境のセキュリティ運用・保守
    • 東芝のサプライチェーンセキュリティの概要

    このうち1.から4.までを下田氏が、5.を岡田氏が説明した。順に見ていこう。

    サプライチェーンのセキュリティ強化、その取り組みの中身とは

    「セキュリティガバナンス・運用体制の構築」では、2015年に「サイバーセキュリティ経営ガイドラインver1.0」が発行されて以来、グループ内のサイバーセキュリティリスクの管理体制を適宜見直して強化しているという。

    2017年にはCISOを任命、各事業分社にもCISOを配置し、リスク管理、インシデント対応、セキュリティ対応力の強化に取り組んでいる。ITインフラと製品セキュリティリスクマネジメント体制という2つのマネジメント体制を同じ組織内、管理体系内に置くことで、「情報連携を密にして、かつ共通のセキュリティプラットフォームを用いることでインシデントに対する迅速な対応を図っている」と下田氏は説明する。

    「人材育成・訓練」は、経営層/社員/取引先(=サプライヤー)の3階層で取り組んでいる。eラーニング形式で提供する社内向けの教育では、サプライチェーンセキュリティ確保の重要性から具体的な実施事項までを網羅。さらにeラーニングだけではなく、実際のインシデントを想定したセキュリティインシデント訓練も展開。また、社外の顧客向けの教育プログラムの提供も行っているそうだ。

    「製品セキュリティ対策とその管理」について下田氏は、「製品のライフサイクル全てにおいて、ガイドラインやチェックリストを整備し、脆弱性が紛れていないことを確認しながら進めるというセキュアプロセスを導入している」と説明する。具体的には、オープンソースやプロダクトのソースコードから構成情報を取得し、脆弱性データベースと照合することで脅威の度合いを示す「SIRT支援システム」を自社開発して活用している。

    「サプライヤーのセキュリティ対策管理」では、3年前に開始した「アタックサーフェス調査」を紹介した。取引のある会社の攻撃リスクを客観的に評価する仕組みで、アタックサーフェスマネジメントにかけてインターネット上から見てリスクのある会社を検出し、リスクが高い会社についてはアドバイスして注意を促しているという。

    一方で、サプライヤーについてはガバナンスが難しい面もある。

    「一社一社が主体的に取り組むことが最も重要であり、政策がそれを後押ししてくれると捉えています」(下田氏)

    この考え方の下で、東芝では製品セキュリティ品質保証ガイドラインの配布、セミナーの開催などの取り組みを行っているそうだ。

    工場のセキュリティ対策はOTゼロトラスト

    「製造工場のセキュリティ対策、顧客環境のセキュリティ運用・保守」について説明した岡田氏は、「OTゼロトラスト」の考え方を示した。

    これは、工場につながるものは全て一旦信用せず、繋げる前に常に検査検証をして安全なものだけを繋げるという考えを指す。これに基づき、東芝では次のような対策を採っているそうだ。

    • OTゼロトラストの概要

    1つ目の対策は、持ち込むPCやUSBデバイスに対して、USBチェッカーを用いて事前に検査を行うことである。

    2つ目の対策は、常に可視化・監視を行うことだ。そのため、同社では制御システム向け不正侵入検知システム「OT-IDS」を導入している。OT-IDSについて岡田氏は「制御システムのネットワークスイッチのミラーポートに接続して、そこから通信パケットをパッシブに収集・監視する」と説明。さまざまな制御プロトコルをサポートし、資産を自動的に識別して可視化。これを独自に管理している設備台帳と突合することで、設備台帳にない機器がどこにあるのかを検出できるという。これには、資産に含まれる脆弱性についてのレポートを生成したり、攻撃経路の予測とそれに対する対策の支援をしたりする機能なども含まれる。OT-IDSからあがったアラートに対しては、東芝の「OT SOC(セキュリティオペレーションセンター)」で24時間監視する。OT SOCでは、アラートの分析や原因の調査を工場のセキュリティ監視部隊に代わって遠隔で支援するといった機能もあるという。この他に、OTの不正侵入防止システム「OT-IPS」の導入も検討しているそうだ。

    3つ目の対策は、異常を検知したら早期に対応することで影響力を最小化することだ。そのため、同社ではネットワークのゾーニング、多層防御を行っている。その一部として、ITとOTのネットワークを分離した、一方向セキュリティゲートウェイを導入。

    「光通信の素子が片方の発光素子のみにあり、もう片方は受光の素子しかないので物理的に本当に一方向にしか通信ができない仕組みです」(岡田氏)

    このような対策を重要インフラの工場やシステムに導入することで、制御システムのデータをIT側、もしくはクラウドなどの社外にも安全に送ってデータを利活用するというようなことも可能になっている。

    岡田氏は最後に、日々の運用の重要性を強調した。東芝では安定的な運用のため、工場に対し、現場の可視化と体制の構築、監視と継続的な検査、統合監視と対策の高度化・自動化という3つのステップの導入を進めている。

    「セキュリティ対策は、技術や製品だけを導入しても実際には有効な対策になりません。運用のためのプロセス、実行体制などが整っていなければ効果は発揮できないのです」(岡田氏)