マクニカ、産業界における製品セキュリティとOTセキュリティの現状・課題・対策について解説するメディア勉強会を開催

マクニカは、未来にタネまくメディア勉強会「実社会にも影響が？！DX時代に忍び寄る新たな脅威」を3月18日に開催した。今回の勉強会では、実世界とサイバー空間の相互連携によって生まれている新たな脅威や国内産業界の実情、製品セキュリティを取り巻く法規制の動向、およびOTセキュリティの課題・現状と対策などについて説明した。

「現在、多くの企業がDXを推進しているが、その中でサイバーフィジカルシステム（CPS）の重要性が高まっている。サイバーフィジカルシステムとは、実世界（フィジカル空間）にある多様なデータをセンサーネットワーク等で収集し、サイバー空間で大規模データ処理技術等を駆使して分析・知識化を行い、そこで創出した情報・価値によって、産業の活性化や社会問題の解決を図るシステムを指す」と、マクニカ ネットワークス カンパニー セキュリティ第4事業部 事業部長の高橋峻氏が、実世界とサイバー空間を連携するサイバーフィジカルシステムについて解説。「一方で、サイバーフィジカルシステムが普及した社会では、サイバー攻撃が実世界にも大きな影響を及ぼすという新たな脅威が懸念されている。そのため、国内外を問わず、多くの企業が自社事業のデジタル化にあたって、セキュリティやプライバシー漏えいに大きな不安を抱えているのが実情だ」と、サイバーフィジカルシステムが直面する課題を指摘した。

「産業向けのサイバーセキュリティに関する法令を見ると、日本の『サイバーセキュリティ基本法』では、インシデント発生時の報告義務は明記されていない。これに対して、米国の大統領令14028号『国家のサイバーセキュリティの改善』では、重大なインシデント発生時にはCISA（サイバーセキュリティ・インフラストラクチャ安全保障庁）に報告する義務があるとしている。今後のサイバーフィジカルシステム社会において、日本企業が海外で事業展開する上では、各国の義務に従うことが必要になる」と、日本と海外の法令の違いについて言及。「こうした現状を踏まえて、これからはサイバーフィジカルシステムに適応したセキュリティ対策が重要になる。組織内にサイバーフィジカルシステム向けのセキュリティ体制を整備することで、デジタル化の意思決定スピードと安全安心のためのセキュリティ対策を両立できると考えている」と、サイバーフィジカルシステム社会の実現に向けてセキュリティ対策の重要性を訴えた。

続いて、同 営業統括部 コンサルティング部 部長の飯田洋平氏が、製品セキュリティを取り巻く法規制の動向および対策について紹介した。「国内製造業は近年、グローバル地域別のセグメント戦略やビジネスモデル変革を中心とした経営戦略を掲げる傾向にある。その中で、急激な環境変化に耐えながら、事業継続していくためには、従来の情報セキュリティに加え、製品セキュリティや工場セキュリティなど広範囲のセキュリティ対策が求められる」とのこと。「製品セキュリティを取り巻く法規制の動向を見ると、世界各国で製品セキュリティに関連する法規制が続出しており、その罰則規定（全世界売上の数％）が経営リスクとなりつつある。中でも、EUのサイバーレジリエンス法では、デジタル要素を含む全製品が対象となっており、今後、国内製造業にとって製品セキュリティの強化は必要不可欠になる」と、EUのサイバーレジリエンス法が国内製造業に大きなインパクトを与えることになるとの見解を示す。

「サイバーレジリエンス法などの法規制への対応では、特に製品販売後の脆弱性発見時の対応が課題になる。これは、国内製造業においては社内に存在しない機能であり、製品セキュリティの対応に向けて障壁が高いと考えている」と、法規制対応に向けた課題を挙げる。「今後、国内製造業では、サイバーレジリエンス法を中心に、製品セキュリティへの対応を『組織体制』『社内規定・ルール』『製品への技術実装』の3つの観点で整備していく必要がある。そこで当社では、サイバーレジリエンス法への準拠に向けて、これまでの支援経験やノウハウを一つのコンサルティングパッケージとして提供している」と、サイバーレジリエンス法準拠に向けた取り組みを支援するコンサルティングパッケージを用意しているとアピールした。

次に、OTセキュリティの課題・現状と対策について、同 セキュリティ第4事業部 第2技術部 部長の鈴木一実氏が解説した。「近年、製造業や電力、ガス、石油化学などの産業界では、標的型攻撃とランサムウェアの2種類の脅威にさらされており、企業活動や経済活動にも影響を及ぼしている。実際に昨年は、産業界へのランサムウェア攻撃が前年比87％増加したと報告されている。また現在、産業界を狙う脅威アクターとして23のグループが存在しており、昨年はそのうち9グループが活発に稼働した」と、産業界を取り巻く脅威の現状について紹介。「こうした中で、発電や電力網、水道、鉄道、工場などの物理的設備の制御と安全性のための技術であるOT（Operational Technology）のセキュリティ対策が急務となっている。また、重要産業に対する偵察・情報詐欺は平時から行われており、地政学的緊張が増している現在において、OTセキュリティは安全保障上でも極めて重要になる」と、世界的にOTセキュリティ対策が急がれていると強調した。

「日本の産業界では、ITセキュリティと同様のアプローチでOTセキュリティを考える企業が多く、導入が進んでいない現状がある。OTセキュリティでは、サイバーハイジーンとサイバーレジリエンスのバランスをとりつつ、BCPの観点から特に事業影響を最小化するためのレジリエンスを優先することがポイントになる」と、旧来の手法にとらわれず、OTに適したアプローチが必要なのだと力説する。「OTセキュリティの対策アプローチとして、米国SANSでは、OT／ICS（産業制御システム）に有効な取り組みと実装ガイダンスとして、5つの重要項目を挙げている。1つ目は、インシデント対応できる状態を作り、強化することを優先する。2つ目は、インシデントを防ぐべく、防御を最適化する。3つ目は、見張りを強化し、攻撃や偵察活動を早期発見する。4つ目は、頻繁に悪用されるリモートアクセスの安全性を確保する。そして5つ目は、内在する脆弱性をつぶしていくこと。当社もこの5つのアプローチを踏まえ、OT脅威に関する豊富なインテリジェンス、専門人材、ソリューションラインアップを活用し、顧客に最適なOTセキュリティを提供している」と、OTセキュリティ対策に向けた最先端のアプローチを紹介した。

マクニカ＝https://www.macnica.co.jp/