工場をサイバー攻撃から守るために、「サイバーエクスポージャー」を理解せよ:IoTセキュリティ
生産拠点のスマート工場化を進める製造業企業が増える一方で、サイバー攻撃によって生産活動の中断に追い込まれるなど新たなリスクが目につく。差し迫るサイバー攻撃のリスクに対し、製造業はどのように立ち向かえばよいか。TenableでCPO(最高製品責任者)を務めるOfer Ben David氏に聞いた。
生産革新や新たな価値を生み出すスマート工場。生産拠点のスマート工場化を進める製造業企業が増える一方で、サイバー攻撃によって生産活動の中断に追い込まれるなど新たなリスクが目につく。ITとOT(制御技術)が融合するスマート工場では、攻撃者は工場のIT資産の脆弱性を突くことで、生産設備に被害を与えられるためだ。2017年6月にはホンダ狭山工場で、2018年8月にはTSMCの複数工場でランサムウェアの感染によって操業が一時停止する事態となった。
差し迫るサイバー攻撃のリスクに対し、製造業はどのように立ち向かえばよいか。TenableでCPO(最高製品責任者)を務めるOfer Ben David氏は「会社全体に加え、工場単位、部門単位の視点で『サイバーエクスポージャー』を把握することが必要だ」と指摘する。
表裏一体のセキュリティとビジネスの把握を助けるTenable Lumin
Tenableは脆弱(ぜいじゃく)性評価やデジタル資産のマネジメント技術に強みを持つ。同社が提唱する「サイバーエクスポージャー」の概念は、サイバー攻撃に対するリスクを客観的に把握し、ビジネスに与える影響を分析することを指す。「エクスポージャー」とはもともと経済用語であり、金融資産における価格変動リスクの度合いを示す。ITとOTの垣根がIoT(モノのインターネット)によって無くなりつつある中、スマート工場とサイバー攻撃者の接点である「アタックサーフェス」は増大する傾向にある。
「OTはITネットワークから隔離された環境で動作することが一般的だったが、米国製造業ではOTのハイブリッドクラウド化がトレンドとなっている。これは生産計画など、製造現場に直結するデータをクラウドで分析したいというニーズがあるためだ。このようにITとOTは垣根が無くなりつつあり、同一部門でITとOTを管理する企業も出てきた」
「一方で、サイバーエクスポージャーの分析を確実に実行している企業は少数で、かつ企業が抱えるアタックサーフェスは拡大の一途にある。企業は、自社のITとOT、そしてIoTが抱えるサイバー攻撃のリスクを把握することが重要だ」(David氏)
また、サイバーセキュリティへの投資に対する理解も企業によってさまざまだ。サイバーセキュリティの重要性を認識する現場に対して、同領域がコストセンターであるため投資を抑えたいと考える経営層も多い。David氏は、サイバーセキュリティがコストセンターであるとの考えは適切でないと語る。
「われわれはサイバーエクスポージャーカンパニーだ。顧客に対して、ITとOT、そしてIoTをまたがったアタックサーフェスの把握を提供している。それによって、顧客の経営に甚大な影響を与えるサイバーセキュリティリスクを減らす。一部の企業では膨大な量の脆弱性が見つかることもある。そのような状況でも、われわれのソリューションでは優先順位付けや未知の脆弱性を予見する機能がある。ビジネスに直結した判断が可能だ」(David氏)
同社が既存顧客向けに先行提供している「Tenable Lumin」は、企業のサイバーエクスポージャーを分析し、現場における対策立案と経営層へビジネスインサイトを与えるツールだ。ITやOT、クラウドやエッジに関わらず全ての資産の脆弱性リスクを検証し、資産の重要度と抱えているリスクによって「サイバーエクスポージャースコア」が算出される。同スコアの高低で優先課題やビジネスリスクの判定が可能となるとともに、業界内や地理的競合先との比較測定も行えるとする。
David氏はとある製造業の顧客がTenable Luminを活用していることを明かし、「現場と取締役会のコミュニケーションツールとして重要な役割を果たしており、好評を得ている」と語った。Tenable Luminを導入前の同顧客は、セキュリティ対策担当者と経営層が同じ課題意識でコミュニケーションを取ることが困難だったとし、「Tenable Luminは担当者と取締役会のブリッジを行う。セキュリティの技術面とビジネス面におけるコンテキストの距離を縮める、今後のビジネスインサイトを示す製品だ」と強調した。
また、David氏は「日本にはユニークな市場であり、製造業は非常に先進的な技術を持っている。そのような企業に対して、われわれはITやOT、IoTにおいてサイバーエクスポージャーの把握を助けることができる唯一の会社だ。日本企業にはわれわれのソリューションを活用して、サイバーセキュリティリスクの低減を図ってもらいたい」と述べた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
自動車セキュリティは義務的作業ではなく、イノベーションを促進する土台だ
コネクテッドカーの普及に備えてセキュリティの重要性が高まっているが、自動車業界はどのように取り組むべきか。Tenableの共同設立者兼CTOであるRenaud Deraison(ルノー・ディレイソン)氏に話を聞いた。
発電所や工場をサイバー攻撃から守れ、必要なのはOTとITの融和、経営陣の理解
MONOistとスマートジャパンが「IoT/制御システムセキュリテイセミナー」を開催。ネットワーク接続が当たり前になりIoTの利活用が進む中で、発電所などの重要インフラや工場などの産業制御システムセキュリティにどのような課題があるか、どのような対策が取り得るかについて、講演やセッションを通じて紹介した。
SCADAツールユーザーの危機を未然に防いだテナブル、日本市場を重要視
クラウド型脆弱性管理プラットフォーム「Tenable.io」を提供する、Tenable Network Security(以下、テナブル)が、同社のパートナー企業であるSchneider Electricにおける最新事例を明かしている。
狙われる産業制御システム、ハッキングコンテストで攻撃者の知見を学ぶ
PwC Japanグループは2019年9月5日、「ICS(産業用制御システム)セキュリティ領域における攻撃者視点とその対策」をテーマにメディア向けセミナーを開催。ICS領域で増えつつある脅威シナリオやその対応策について解説がなされた。
PLCが人質に取られて脅迫される時代へ、IoTがもたらす産業機器の危機
JPCERT コーディネーションセンターと経済産業省は「制御システムセキュリティカンファレンス」を開催。高度化が進む、制御システムへの攻撃の事例を紹介した。
欧米注目の産業制御システムセキュリティの国際規格、ルネサスが認証取得を支援
ルネサス エレクトロニクスは、産業分野の組み込み機器向けプラットフォーム「RZ/G Linuxプラットフォーム」をベースに、産業制御システムセキュリティの国際規格であるIEC 62443-4-2の認証を短期間で取得できる「RZ/G IEC 62443-4-2 READYソリューション」を2019年12月末に提供開始すると発表した。