社内にマルウェアが常駐する製造業、セキュリティ対策は何から始めるべきか：産業制御システムのセキュリティ（3/3 ページ）

製造業を取り巻くサイバー攻撃の脅威が増している。サイバーセキュリティ対策を講じる上で意識すべきポイントや課題点は何か。日立ソリューションズ セキュリティマーケティング推進部 部長の扇健一氏に話を聞いた。

[池谷翼，MONOist]

IoT機器へのデバイス証明書組み込みが進む？

MONOist　セキュリティ対策を進める上で参考になる資料はありますか。

扇氏　情報処理推進機構（IPA）が公開する「サイバーセキュリティ経営ガイドラインVer2.0 実践のためのプラクティス集」が参考になる。セキュリティ担当者の実際の取り組みをまとめた資料集だ。例えばIoT機器の「シャドーIT化」を取り上げた章では、シャドーIT化問題の解決に向けて担当者が取り組んだ事柄が記載されている。情報システム部門と工場生産部門の体制面での未整備が原因だったようだが、こうしたトラブルが生じ得るということを事前に知っておけるのは便利だ。

　また社内でのセキュリティ推進の方法に悩む人は多いが、まずは社内でセキュリティの重要性をしっかり認知してもらうことが重要だ。そこで役立つのが日本ネットワークセキュリティ協会（JNSA）が公開している「MY CISO ハンドブック」である。「経営者にはインシデントの発生回数などを定期的に報告しておくべき」といった指針をIT部門向けに記載している。

　経営層の理解を得るという点では、同じくセキュリティの基礎的な知識などを問う「セキュリティの理解度チェック」テストを定期的に社内で実施することも大切だ。社内だけでなく他社や役職内、部署間で結果を比較できるセキュリティテストをサービスとして提供する企業もある。セキュリティ意識を社内に根付かせる「セキュリティ教育」を実践する上で、競争を導入するのは1つの有力な手法となり得る。教育環境がなければ、セキュリティ対策への意識は社内に広がらないだろう。

MONOist　今後、製造業のサイバーセキュリティ対策はどのように進むでしょうか。

扇氏　まずは工場のIoT化を軸としたネットワークセキュリティ対策が進むと予測している。現時点ではティア1サプライヤーなどで取り組みが先行しているが、今後はティア2でも同様に進む。また、現在はIoT機器に個別にシステムベンダーがセキュリティパッチを当てているという状況だが、いずれは製造業者がクラウドプラットフォーム上から自社に最適なセキュリティパッチを直接選択して、各IoT機器に導入するようになる。

　ただ、そうなるとマルウェア対策が必要なセキュリティ上の弱点が増加することにもつながりかねない。そこで将来的にはデバイス証明書をIoT機器に直接組み込んで、不正アクセスを防止する仕組みを構築することになると考えている。攻撃者の侵入口を全てふさぐのではなく、IoT機器に自ら身を守る仕組みを導入するという発想だ。IoT機器のファームウェアに暗号化の仕組みや改ざんを防止するためのセキュリティ対策を入れ込むことは必須になると思う。