日立の工場IoTセキュリティサービスはBCPから、「WannaCry」の経験が生きる:産業制御システムのセキュリティ
日立製作所は、東京都内で開催した「日立セキュリティフォーラム2019」の展示コーナーで、工場IoTセキュリティに関する提案を行った。
日立製作所は2019年6月11日、東京都内で開催した「日立セキュリティフォーラム2019」の展示コーナーで、工場IoT(モノのインターネット)セキュリティに関する提案を行った。
展示は、同社がこれまで展開してきた「現状把握」「多層防御・検知」「運用・対処」という3つのステップに分かれている。これらのうち「現状把握」のステップでは、事業の継続性を重視したリスク分析を実現するコンサルティングサービス「工場向けサイバーBCPリスクアセスメント」の提供を同日から始めた。
国内製造業の工場では、IoTやAI(人工知能)活用に向けた取り組みが進みつつある一方で、サイバーセキュリティについてはなかなか導入が広がらない状況にある。日立の工場向けサイバーBCPリスクアセスメントは、工場のサイバーセキュリティ以前に、BCP(事業継続計画)の観点で発生したら事業継続が困難にある事象を洗い出していくことが特徴だ。日立製作所 制御プラットフォーム統括本部 大みか事業所 サービス・制御プラットフォームシステム本部 制御セキュリティ設計部 グループリーダ主任技師の山田勉氏は「工場のサイバーセキュリティは、どこから手を着けていいか分からないことが最大の悩みになっている。そこで日立としては、工場のセキュリティ対策の最大の目的は事業を止めないことであると考え、BCPの観点から現状把握を始めた上で、その結果として必要なセキュリティ対策を提案することにした」と語る。
今回のサービスにおいて、日立はなぜBCPの観点で現状把握から始めようとしているのだろうか。「日立は制御システムを開発、提供するベンダーだが、自社の工場については制御システムのユーザーでもある。だからこそ制御システムが止まることの問題の大きさを強く認識している。そして何より、ランサムウェア『WannaCry』の被害により、一定のセキュリティ対策があったにもかかわらず、事業継続が困難になるという経験を得たことが大きい」(山田氏)という。
工場向けサイバーBCPリスクアセスメントで現状把握ができ、サイバーセキュリティを含めて何をすべきかが分かれば、それを実現するための候補を網羅的に示し、顧客に選んでもらうことになる。山田氏は「例えば、設備面でコストを掛けられない場合は、人員の運用やルール構築を中心に、新たな設備導入を一部に抑えて対応することもできる。日立には、産業制御システムセキュリテイの国際標準であるIEC 62443などについて高い専門性を有するコンサルタントがいるので、適切な提案ができることも強みだ」と説明する。例えば、山田氏自身は、IEC 62443の規格策定における日本代表であり、同規格の認証基準を策定するIECEE CMCのエキスパートも務めている。
また、顧客の工場のセキュリティレベルを診断やすくするため、日立の自社工場で策定、運用しているセキュリティガイドラインのノウハウを反映した診断ツールも提供している。この診断ツールも、IEC 62443やNIST(米国立標準技術研究所)サイバーセキュリティフレームワークに準拠している。
日立の工場IoTセキュリティサービスは、社内の採用事例を含めて既に十数件の提供実績がある。今後は、工場向けサイバーBCPリスクアセスメントなどをてこに、2021年度までに50件の採用を目指す。山田氏は「工場へのサイバーセキュリティ導入では、最初から100点を求めるのではなく、50〜60点で構わないのでまずは取り組みを始めてほしい。そして次の年の目標は55〜65点にするなど、着実に高めて行くことが重要だ。確かに最初は現場の抵抗は大きいかもしれないが、始まりさえすればその後は意外と受け入れられる。いつまでも始めないよりも、まずは始めることを考えてほしい」と述べている。
関連記事
- 日立は「WannaCry」被害から何を学んだのか、IoTセキュリティサービスに昇華
日立製作所が開催した「日立セキュリティソリューションセミナー」の基調講演に、同社 サービスプラットフォーム事業本部 セキュリティ事業統括本部 副統括本部長の宮尾健氏が登壇。2017年5月に発生したランサムウェア「WannaCry」による被害から得られた気付きと、それに基づいて開発した同社のIoTセキュリティサービスを紹介した。 - WannaCary騒動がもたらしたセキュリティへの「経営層の理解」をもう1段階進める
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第3回は、日本が特に低いとされる、経営層のサイバーセキュリティに対する理解をどのように高めていくかについて説明する。 - 「WannaCry」に襲われた英国の地域医療連携システム、そこから何を学べるのか
2017年10月に発生したランサムウェア「WannaCry」によるサイバー攻撃。被害事例として真っ先に挙げられたのが英国の医療機関だ。病院単体にとどまらず、地域医療連携システムにも影響が出た。そのとき、どのように対処し、今後のどのような対策を取ろうとしているのだろうか。 - モノづくりの現場に即した制御システムセキュリティの在り方とは
JPCERTコーディネーションセンターが主催した「制御システムセキュリティカンファレンス 2017」の中から、モノづくりの現場に即した制御システムセキュリティ強化の取り組みについて解説した2つのセッションの模様を紹介する。 - 制御システムを狙ったマルウェア「Stuxnet」って何?
制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する本連載。2回目は、世間を騒がせたマルウェア「スタックスネット(Stuxnet)」とは何なのか、ということを解説する。 - 欧米注目の産業制御システムセキュリティの国際規格、ルネサスが認証取得を支援
ルネサス エレクトロニクスは、産業分野の組み込み機器向けプラットフォーム「RZ/G Linuxプラットフォーム」をベースに、産業制御システムセキュリティの国際規格であるIEC 62443-4-2の認証を短期間で取得できる「RZ/G IEC 62443-4-2 READYソリューション」を2019年12月末に提供開始すると発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.