工場をサイバー攻撃から守るために、「サイバーエクスポージャー」を理解せよIoTセキュリティ

生産拠点のスマート工場化を進める製造業企業が増える一方で、サイバー攻撃によって生産活動の中断に追い込まれるなど新たなリスクが目につく。差し迫るサイバー攻撃のリスクに対し、製造業はどのように立ち向かえばよいか。TenableでCPO(最高製品責任者)を務めるOfer Ben David氏に聞いた。

» 2019年09月17日 07時30分 公開
[松本貴志MONOist]

 生産革新や新たな価値を生み出すスマート工場。生産拠点のスマート工場化を進める製造業企業が増える一方で、サイバー攻撃によって生産活動の中断に追い込まれるなど新たなリスクが目につく。ITとOT(制御技術)が融合するスマート工場では、攻撃者は工場のIT資産の脆弱性を突くことで、生産設備に被害を与えられるためだ。2017年6月にはホンダ狭山工場で、2018年8月にはTSMCの複数工場でランサムウェアの感染によって操業が一時停止する事態となった。

 差し迫るサイバー攻撃のリスクに対し、製造業はどのように立ち向かえばよいか。TenableでCPO(最高製品責任者)を務めるOfer Ben David氏は「会社全体に加え、工場単位、部門単位の視点で『サイバーエクスポージャー』を把握することが必要だ」と指摘する。

TenableのOfer Ben David氏

表裏一体のセキュリティとビジネスの把握を助けるTenable Lumin

 Tenableは脆弱(ぜいじゃく)性評価やデジタル資産のマネジメント技術に強みを持つ。同社が提唱する「サイバーエクスポージャー」の概念は、サイバー攻撃に対するリスクを客観的に把握し、ビジネスに与える影響を分析することを指す。「エクスポージャー」とはもともと経済用語であり、金融資産における価格変動リスクの度合いを示す。ITとOTの垣根がIoT(モノのインターネット)によって無くなりつつある中、スマート工場とサイバー攻撃者の接点である「アタックサーフェス」は増大する傾向にある。

 「OTはITネットワークから隔離された環境で動作することが一般的だったが、米国製造業ではOTのハイブリッドクラウド化がトレンドとなっている。これは生産計画など、製造現場に直結するデータをクラウドで分析したいというニーズがあるためだ。このようにITとOTは垣根が無くなりつつあり、同一部門でITとOTを管理する企業も出てきた」

 「一方で、サイバーエクスポージャーの分析を確実に実行している企業は少数で、かつ企業が抱えるアタックサーフェスは拡大の一途にある。企業は、自社のITとOT、そしてIoTが抱えるサイバー攻撃のリスクを把握することが重要だ」(David氏)

 また、サイバーセキュリティへの投資に対する理解も企業によってさまざまだ。サイバーセキュリティの重要性を認識する現場に対して、同領域がコストセンターであるため投資を抑えたいと考える経営層も多い。David氏は、サイバーセキュリティがコストセンターであるとの考えは適切でないと語る。

 「われわれはサイバーエクスポージャーカンパニーだ。顧客に対して、ITとOT、そしてIoTをまたがったアタックサーフェスの把握を提供している。それによって、顧客の経営に甚大な影響を与えるサイバーセキュリティリスクを減らす。一部の企業では膨大な量の脆弱性が見つかることもある。そのような状況でも、われわれのソリューションでは優先順位付けや未知の脆弱性を予見する機能がある。ビジネスに直結した判断が可能だ」(David氏)

 同社が既存顧客向けに先行提供している「Tenable Lumin」は、企業のサイバーエクスポージャーを分析し、現場における対策立案と経営層へビジネスインサイトを与えるツールだ。ITやOT、クラウドやエッジに関わらず全ての資産の脆弱性リスクを検証し、資産の重要度と抱えているリスクによって「サイバーエクスポージャースコア」が算出される。同スコアの高低で優先課題やビジネスリスクの判定が可能となるとともに、業界内や地理的競合先との比較測定も行えるとする。

Tenable Luminのダッシュボード機能イメージ(クリックで拡大) 出典:Tenable

 David氏はとある製造業の顧客がTenable Luminを活用していることを明かし、「現場と取締役会のコミュニケーションツールとして重要な役割を果たしており、好評を得ている」と語った。Tenable Luminを導入前の同顧客は、セキュリティ対策担当者と経営層が同じ課題意識でコミュニケーションを取ることが困難だったとし、「Tenable Luminは担当者と取締役会のブリッジを行う。セキュリティの技術面とビジネス面におけるコンテキストの距離を縮める、今後のビジネスインサイトを示す製品だ」と強調した。

 また、David氏は「日本にはユニークな市場であり、製造業は非常に先進的な技術を持っている。そのような企業に対して、われわれはITやOT、IoTにおいてサイバーエクスポージャーの把握を助けることができる唯一の会社だ。日本企業にはわれわれのソリューションを活用して、サイバーセキュリティリスクの低減を図ってもらいたい」と述べた。

Copyright © ITmedia, Inc. All Rights Reserved.