東芝が制御システム向け脆弱性評価ツールを開発、オープンソース化で展開拡大へ：産業制御システムのセキュリティ（2/2 ページ）

東芝と米国のPeraton Labsは、発電所や受変電設備、上下水道や交通、工場・ビル施設などで稼働する産業制御システムへのサイバー攻撃に対する脆弱性評価ツール「Automated Attack Path Planning and Validation（A2P2V）」を開発。「Black Hat USA 2021 Arsenal」で発表するとともに、オープンソースソフトウェアとして公開する。

[朴尚洙，MONOist]

制御システムセキュリティの需要が拡大する中で「倫理的ハッカー」が不足

　今回の技術発表は、東芝が社内システムや顧客システム向けに展開している制御システムセキュリティ事業を推進する中で上がってきた課題が背景にある。同事業では、Security by Design、運用監視、インシデント対応、最新脅威と対策技術による評価検証を行う「セキュリティライフタイムプロテクション」や、これを有機的に実行するためのガバナンス、セキュリティオペレーション、人材育成を整備する「サイバーセキュリティマネジメントプロセス」の構築などを行っている。

東芝が制御システムセキュリティ事業で実施している「セキュリティライフタイムプロテクション」と「サイバーセキュリティマネジメントプロセス」の構築（クリックで拡大） 出典：東芝

　東芝 研究開発センター内のサイバーセキュリティ技術センターは、この制御システムセキュリティ事業において、攻撃者が発見する前に脆弱性を見つけて顧客システムの安心・安全を提供する倫理的ハッカーとしての役割を果たしている。「しかし、制御システムセキュリティに対する需要が拡大する中で、さまざまなスキルや経験、ノウハウが求められる倫理的ハッカーの不足が課題になっている。今回開発したA2P2Vは、この課題に対応するためのものだ」（東芝 研究開発センター サイバーセキュリティ技術センター セキュリティ基盤研究部 上席研究員の春木洋美氏）。

東芝が強化しているセキュリティ人材の中でトップの専門層に入るのが倫理的ハッカーだ（左）。倫理的ハッカーは、ホワイトハッカーなどとも呼ばれ、悪意を持ったサイバー攻撃者とは異なる（右）（クリックで拡大） 出典：東芝

東芝における倫理的ハッカーの役割（クリックで拡大） 出典：東芝

　A2P2Vは、エミュレーションエンジンを中心にオープンソース化する方針だ。東芝 研究開発センター サイバーセキュリティ技術センター セキュリティ基盤研究部 シニアマネージャーの小池正修氏は「A2P2Vの技術をオープンソース化することで、セキュリティコミュニティーや関連団体との連携を積極的に行い、オープンイノベーションによる新しい価値創出を行っていく。それらのオープンソース活動を進める中で、東芝の制御システムセキュリティ事業にどのように活用できるかを検討することになるだろう」と述べている。

⇒その他の「産業制御システムのセキュリティ」の記事はこちら