(2023/1/10 00:00)
対 談
株式会社プロット代表取締役社長
津島 裕 氏
名古屋工業大学 産学官金連携機構
ものづくりDX 研究所 プロジェクト准教授
佐々木 弘志 氏
セキュリティの脆弱性を狙ったサイバー攻撃が国内外で深刻度を増している。2021年5月、ランサムウエア(身代金要求型)攻撃により、米国最大のパイプライン「コロニアル・パイプライン」が操業を停止した。2022年3月には、小島プレス工業がサイバー攻撃を受け、トヨタ自動車の工場が操業停止に追い込まれた。サイバー攻撃は社会インフラやサプライチェーンに甚大な影響を及ぼす危険を内包しており、対応を間違えればとてつもない代償を払う可能性がある。このため、セキュリティ対策はハイレベルな経営課題と認識されるべき時代だ。サイバーセキュリティの専門家二人に日本の現状と課題について話を聞いた。
肥大化するサイバーセキュリティリスク
―製造業を取り巻くサイバーセキュリティの現状は?
「ポイントは3つあります。1つ目は、DX(デジタルトランスフォーメーション)の進展により、製造業のビジネス全体がサイバー空間を活用する場面が拡張してきている状況です。例えば、工場が外部と接続したり、製品・サービスがクラウドを活用したりしています。2つ目は、サイバーセキュリティの意味合いに変化が生じています。情報漏洩が主な被害だった時は、ビジネス自体が止まることはありませんでした。しかし、近年のランサムウエア攻撃では、システムの可用性が失われるため、ビジネスオペレーションに影響が広がり、最悪、事業停止という事態に成りかねず、インパクトが非常に大きくなっています。3つ目は、サイバー攻撃の被害が深刻化してくると、国や業界団体が動き出し、規制に踏み込んできます。直近ではEU(欧州連合)が、域内で流通するデジタルプロダクトに一定のサイバーセキュリティ基準対応を義務付ける「サイバーレジリエンス法」を制定しました。米国は2021年5月に、大統領令14028「Improving the Nation’s Cybersecurity(国家のサイバーセキュリティの改善)」を発令し、IT・OT(オペレーショナル・テクノロジー:制御系システム)・クラウドの強靱化方針を明確に示しました。グローバルで事業をする企業は各国の規制に目を光らせる必要があります。工場部門だけでなく、R&D 部門でもサイバーセキュリティは大きな課題です。」
-
株式会社プロット 代表取締役社長 津島 裕 氏
「ソフトウエアの開発ベンダーとして、少々ドキドキするお話ですね。我々としても、国産ベンダーとして、安全性を高める製品作りをするだけでなく、ソースの信頼性を大切にするといった出来ることを着実に実行していかないといけないという思いを強く持っています。コンピューターマルウエアの侵入経路が沢山あって、どのように対処したら良いかという相談が数多く寄せられています。例えば、知らずに感染していたUSB メモリーを利用したり、保守・メンテナンス業者が利用している端末がそもそも感染していたりするなどの事象があり、それぞれで対応策を講じる必要があります。最近件数が多い相談では、USB メモリーを使わないで情報の授受をする方法などへの問い合わせが増えています。USB メモリーは製造業だけでなく、金融機関や医療機関、自治体などあらゆるところで活用されています。USB メモリーでの情報授受は、ランサムウエアの感染リスクだけでなく、紛失による情報漏洩リスクもあります。USB メモリーの活用はハイリスクだと認識してもらいたいです。」
技術的ソリューション+人的オペレーション教育
―日本企業が抱えるセキュリティ上の課題は何ですか?
「津島社長が指摘するUSB メモリーに関する問題はその通りです。その上で、サイバーセキュリティ対策には『予防』と『事後対応(改善策)』の2つがあると申し上げたいです。また、工場のサイバーリスクの入口としては、①日々の運用で用いるUSB メモリー②保守要員が接続するパソコン端末③購買品に不正なコードの埋め込み④外部からのネットワーク侵入があります。このうち④は常に見張っていなければならず、ネットワーク防衛は付け焼き刃の対策では対処しきれません」。
「確かに、予防の防衛策はとても重要です。その為には重要なネットワークのOT へのファイルの行き来は全て管理下に置き、見える化する事が大切です。当社の製品である「Smooth File ネットワーク分離モデル」では、IT・OT というリスクレベルが異なるネットワークの行き来を全て制御下に置き、アクセス制御やログ取得を行います。さらにOT に持ち込むファイルを安全にする「ファイル無害化技術」でOT をリスクから守ります。例えば、入国管理では入国時にパスポートを見て犯罪履歴などの確認をモニタリングし出入国を制御しています。また手荷物検査で液体の入ったペットボトルなどを機内に持ち込ませない対策も同時にとることに似ています。当社製品は、入国時にモニタリングするだけでなく、武器になりうるものを取り除き、持ち込ませない設計になっています。」
「危険性が分からない時には予防的に有害とするリスクヘッジは重要です。予防措置に加えて、事後的な対策としては、『検知・対応・復旧』のプロセスになります。常時モニタリングシステムの稼働・現場の人が異常と判断できるようにする教育・ネットワークからすぐに遮断するようにする人的教育が検知の際には有効です。技術的ソリューションだけでなく、人的オペレーションの教育がとても大切です。ログの保存も重要。インシデント対応は、改善策までがセットです。セキュリティ対策全体のライフサイクルを考えると、予防・事後対応(改善策)が求められます。そのためにはログが必要になるからです。」
「おっしゃる通り、人の意識を高める対応がとても大切だと実感しています。システムの仕組みだけでなく、人の意識改革も並行して実行しなければリスク低減にはなりません。いくらセキュリティシステムを導入しても、それを運用する人の意識が変わらないとマルウエア感染リスクを引き下げることは難しいでしょう。方法は社内で啓発活動をする、工場であれば標語をつくる、国際標準化機構(ISO)規格などを使い再発防止策を癖付けするなど多様にあります。例えば、当社では不適合を共有した社員は評価を下げるのではなく、プラス評価するようにしています。会社としては不適合を出して再発防止策を策定できる機会にもなるのですから。そうすると、ヒヤリ・ハットレベルの不適合も報告されるようになり、インシデントが発生してからではなく、その前に対策がとれるようになってきます。人への投資もセキュリティ対策では大切な要素と考えます。」
「余談ですが、人の意識改革の中で、マルウエア感染の対応についても啓発を行うかと思いますが、マルウエアに感染時に、端末の電源を切る方法はあまりお勧めしません。マルウエアによっては電源を切るとデータが残らないものもあり、後の原因追求ができなくなる恐れがあります。一番良い方法は、ネットワークから隔離してそのまま保持することですね。」
ガイドラインでセキュリティを共通言語化
―経済産業省が11月16日に公表した工場セキュリティガイドラインとは?
-
名古屋工業大学 産学官金連携機構 ものづくりDX 研究所 プロジェクト准教授 佐々木 弘志 氏
「米国やEU はサイバーセキュリティ規制が進んでいます。日本でも待ったなしの状況ですが、うまく機能していないのも確かです。経産省が公表した工場セキュリティガイドラインは、工場のサイバーセキュリティに関する共通言語化を目指しています。つまり、違う会社同士が同じ土俵で会話するための土台作りです。もう一つの目的は、工場ごとに違う対策を解決するために、ある程度やり方を示したことです。まずはセキュリティリスクを洗い出して、経営層に認識してもらうことなどを順序立てて説明しています。順番通りに対策を講じていくと、セキュリティ対策が一通りできます。その上で個別にリスク別対策をとるような構造にしました。ガイドラインなので、結局は企業次第という面があることは否めませんが、例えば、サプライチェーン間でサイバーセキュリティについて話合う際にも、同じ考え方ができるので、課題認識・解決に役立つはずです」。
「製造業にとって、工場セキュリティガイドラインの策定は、セキュリティ対策を講じる良い機会になると思っています。また、当社としては、お客さまの安全を守ることが一番の使命であり、もっと貢献していきたいと考えています。お客さまであるメーカー自らが対策していくことも重要ですが、当社のようなベンダーもお客さまのセキュリティ意識を高めるための啓発活動を積極的に展開していく方針です。ただ、工場には多種多様なベンダーが関わっています。当社が担当している部分だけを啓発しても感染するリスクは残ってしまいます。ここをどうするかが課題です」。
不可逆世界で求められる「自助・共助・公助」
―資本力のある大企業はセキュリティ対応も可能ですが、中堅・中小企業では難しい面もあります。
「ネットワークでつながる世界、これが現状認識の前提です。この世界が後退することはなく、より加速していきます。このような世界では、【自助・共助・公助】の考えが重要になります。まずは各企業が自分たちのリスクを減らすように行動します。実践していくと、サプライチェーン管理や基本ソフト(OS)問題、サイバーセキュリティ人材育成などの共通のセキュリティ課題が出てきます。次の段階では、各社の悩みをシェアしていくのです。ノウハウシェア・リソース(人材)シェア・教育コンテンツシェアといった共助が有効になります。プロットさんにも資格者がいらっしゃいますが、高度な守秘義務が課される国家資格『情報処理安全確保支援士(登録セキスペ)』が副業的に町工場などの相談に乗るといった方法も考えていきたいですね。これにより、セキュリティリスク対策を「0」から「1」にすることが可能となり、何らかの対策をとる契機にもなります。もっとも、大切なことはシステムを入れて終わりでなく、組織と運用が伴っていることだということは強調しておきます。公助は日本産業界をサイバーリスクから守るために、業界を超えてノウハウを共有するだけでなく、産官学が連携して問題解決していくのがゴールの一つになると考えています」。
「難しい問題ですね。佐々木先生がおっしゃるように、自助・共助・公助が必要だと私も思います。今の世界は大企業で知名度があるからサイバー攻撃の標的にされるという明確な相関関係はありません。最近は犯罪もビジネス化してきています。企業規模や認知度に関わりなく、セキュリティ上の脆弱性が見つかれば、容赦なく攻撃を仕掛けてきます。サプライチェーンの複雑化がサイバー攻撃をする側に有利な状況になっているとも言えます。各企業が当事者意識をもってセキュリティ対策に臨まなくてはいけません。共助という意味では我々ベンダー側も競業・非競業分野を分けて、非競業分野では積極的に協力していく体制を整えるべきと考えています。業界を守っていかないと、私たちも生き残れませんから。公助では、ランサムウエア攻撃に意識がいきがちですが、例えば会社の秘密情報を外国に搾取される可能性もあります。データを改ざんしてわざと不良品を作らせるようとすることもできます。これらの対策は一企業ではできません。官民で団結していく必要があります」。
「工場セキュリティガイドラインは、どの企業でも活用できるガイドラインになるように作りました。その策定は必然と言えます。むしろ遅いぐらいです。もう待ったなしの状況です。津島社長がおっしゃる通り、自分ごととしてアクションを起こしてもらいたい。とはいえ、どうしたらいいか分からないと言われてしまいそうです。私は、そのような人たちが相談できる人たちのパイを増やしていきたいと考えています」。
「私たちは、お客さまと一緒に製品をつくっていくというスタンスです。企業や自治体などから改修した相談件数は5 年で1,000 件を超えます。例えば、多様なファイル拡張子の無害化に対応する必要がありましたが、特定のソフトに対応していませんでした。このため、ソフトウエア会社と契約して仕様を開示してもらい無害化に対応した例もあります。自治体にも多く採用されており、2016 年にスタートした「自治体情報セキュリティ強靱化」時には基礎自治体(市町村)レベルでしたが、リプレース時の2021 年には、実績が評価され都道府県レベルでも導入いただいています。セグメント間のファイル授受システムと無害化システムを両方備えているので、利便性の高い無害化サービスを提供することができます。また、USBメモリーをすぐになくすことが難しい場合もあります。このため、当社ではUSB メモリーを無害化する製品も最近リリースさせて頂きました。お客さまのステージに合わせてセキュリティを強化していけるように、お客さまと伴走していく企業でありたい。メンテナンス業者のパソコンの感染から生じた場合、VPN(仮想プライベートネットワーク)の脆弱性をついた攻撃があった場合、そもそも会社の設定ミスでマルウエア感染する場合もある。国産ベンダーとして当社で役立つことがあれば、貢献していきたいと思っています。」
日本のサイバーセキュリティ力の底上げを
―最後に読者へのメッセージをお願いいたします
「経産省の工場セキュリティガイドラインについての知見をなるべく色々な人とシェアして、その人たちが代弁者となって、大企業だけでなく中堅・中小企業にも伝えられれば、日本のサイバーセキュリティ力を底上げすることが出来ると確信しています。」
「製造業に限らず、多様な業種でセキュリティ対策が充分ではないと思われる場合があります。自社内で完結が難しいと感じられる時には、ぜひ当社を頼って頂きたいです。最終的に当社製品をお使いただければ嬉しいですが、それを前提とせずに、当社が担当する以外の部分でもアドバイスできることがあるかもしれません。当社には取引先様だけでなく、その先にいるユーザー様やパートナー様を守る責務があると考えています。国産ベンダーだからこそ、改善ときめ細やかなサービスが提供できるという自負もあります。国産ベンターという面からも日本の産業に貢献していきたいです。」
(2023/1/10 00:00)
