「CNC」も「CODESYS」も脆弱性とは無縁ではない脆弱性調査とセキュアな開発、多方面からの取り組みが不可欠に(3/3 ページ)

» 2019年10月10日 11時00分 公開
[高橋睦美MONOist]
前のページへ 1|2|3       

はじめからセキュリティを考慮した製品開発が不可欠に

 だが現実には、既存システムへの対症療法だけでは根本的な解決は望めないだろう。Suvorov氏は「できあがったものに後からセキュリティを追加するのは難しい。センサーが代表例だが、こうした機器はCPUパワーもキャパシティも限られており、後からアンチウイルス製品を導入するわけにはいかない。はじめからセキュリティを考慮した基盤の上に、製品を構築していくことが必要だ」と述べている。

 このことは、Industrial Cybersecurity Conferenceの基調講演に登場したKasperskyの創業者、ユージン・カスペルスキー氏も指摘していた。カスペルスキー氏は、物理的なインフラに対する攻撃を「通常のマルウェア」「より洗練された標的型攻撃」「インフラへの攻撃」などに分類。特にインフラに対する攻撃の場合、エンタープライズへの攻撃とは異なってリスク管理が困難であり、損害は予測不可能だという。

 こうした現状への打開策として、カスペルスキー氏が唱えたのが「イミューン・システム」だ。人間の免疫システムになぞらえたアプローチは、同社に限らず複数のセキュリティベンダーが提唱しているが、Kasperskyの場合、はじめからウイルスへの抗体を備えた免疫力の高いシステム、という意味合いだ。

 それを具現化したのが、「セキュア・バイ・デザイン」の考え方で開発されたマイクロカーネルベースのOS、「Kaspersky OS」だという。カスペルスキー氏は「システムをより侵害されにくくしていくことで、攻撃のコストを大きくしていくことが、産業システム、ICSシステムのセキュリティの将来像だ。今の世界を安全にするだけでなく、より安全な世界を作り出していくことがわれわれの役割だ」と呼び掛けた。

 Suvorov氏によるとKaspersky OSは、セキュアOSの一種だ。ハードウェアとOS、OSとアプリケーションの間を分離し、専用の通信システムを介して全てのコミュニケーション、I/Oを制御する。SDKと独自のハイパーバイザーによって既存のアプリケーションを搭載することも可能で、いわば「コンテナ」のように区切られた形で動作できるという。

 「汎用のOSならば何でもできるが、Kaspersky OSはホワイトリスト方式のように制御を行う。例えばクラウドなど外部への通信を制御したり、ダウンロードを制限したり、アプリケーション間の通信を制御したりと、あらゆるコミュニケーションとアクティビティをチェックし、『プロファイル』に沿って許可された動きしかできないようにする」(Suvorov氏)

 ブラックボックス化の懸念については「顧客に隠すことは何もない。マイクロカーネルの動きは数学的に検証できるようになっており、それもKaspersky OSの特徴の1つだ」とDashchenko氏は述べた。

 Suvorov氏によると、既にKraftwayやSiemensといったいくつかのパートナーがKaspersky OSを採用し、製品のセキュリティ強化に活用しているといい、「日本のメーカーともコラボレーションを広げていきたい」とした。

サイバーと物理世界が互いに影響し合う世界だからこそ、セキュアな開発を

 KasperskyのChief Strategy ArchitectでHead of Future Technologiesを務めるAndrey Doukhvalov氏は「ランサムウェアや情報窃取のように、ITの分野で以前から存在してきた脅威もあるが、IoT/IIoTの広がりにともなって、サイバーが物理に、物理がサイバーにと、互いに影響を与えるようになってきた。これを前提に、情報の世界、物理の世界それぞれ単体ではなく、両方の組み合わせでセキュア・バイ・デザインというアプローチをどのように実現するかという新しい課題に取り組まなければいけない」と述べている。

photo KasperskyのChief Strategy ArchitectでHead of Future Technologiesを務めるAndrey Doukhvalov氏

 市場の動きがますます急速に変化する中、それに追随するため、アジャイルな開発スタイルも広がってきた。だがだからこそ、アプリやインフラの一部として、はじめからセキュリティを組み込むことが重要だとDoukhvalov氏は語った。「反復プロセスの中でビジネス的な機能だけでなくセキュリティも要求し、埋め込むことが欠かせない」とし、Kaspersky OSのようなツールとメソドロジー、ベストプラクティスを組み合わせ、セキュアなDevOps実践を支援していくと強調した。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.