ハッカーから社会インフラを守れ! サイバーセキュリティ最前線

2019/05/08 Toshiba Clip編集部

この記事の要点は...

  • インダストリアル分野もIoT化が進み、高いセキュリティが求められるようになった
  • そこで重要なのは、攻撃側であるハッカーの目的を正確に見極めること
  • AI技術を活用して早期に脅威を検知、セキュリティ分野から社会課題の解決へ
ハッカーから社会インフラを守れ! サイバーセキュリティ最前線

工場やプラントなど、インダストリアルの分野でもIoT化が進められている。現場で生み出される各種データを“見える化”することで、生産性や利益率の向上を図るのが狙いだが、一方でセキュリティ対策への投資をどのような考え方で行い、管理・運用していくかが課題となっている。

 

IoTによって業務プロセスを変革する「デジタルトランスフォーメーション」の時代において、インダストリアル分野のセキュリティはどうあるべきか?また、従来の情報セキュリティと比較して、インダストリアル分野で求められるものは何か?その最新事情に迫った。

なぜ今、インダストリアル分野のセキュリティが重視されるのか

インダストリー向けのIoTでは工場から、電力やガス、水道といった社会インフラが対象となる。つまり、もしそのネットワークが悪意あるハッカーからの攻撃を受けて機能不全に陥るようなことがあれば、社会全体の流れが停滞し、膨大な実害が発生することになる。

 

近年の実例でいえば、2015年に発生したウクライナの大停電が有名だ。これは他国からのマルウェア(悪意あるプログラム)による攻撃で送電システムに障害が起こり、国内に大規模な停電が発生した事件。株式会社東芝 サイバーセキュリティセンターの天野隆センター長は、次のように語る。

 

「ウクライナの大停電はやはり、インダストリアル分野に強い危機感をもたらすひとつのきっかけになりました。それまではIoTセキュリティといえば、サーバや個人のパソコン、スマートフォンが主な防御の対象でしたが、電力システムのような社会インフラもすでにインターネット網の中にあり、容易に侵入できることを、改めて示した事例であったと言えます」

株式会社東芝 サイバーセキュリティセンター長 天野隆氏

株式会社東芝 サイバーセキュリティセンター長 天野隆氏

特にここ2年ほどは、世界中でおきている社会インフラへのサイバー攻撃被害にスポットがあたり、各国が対策を進めている。特にドイツや北米は、社会インフラのセキュリティ対策に先進的に取り組んでおり、日本も政府と民間が協力して早急な対応が求められている。

 

日本ではこれまで、サイバー攻撃による被害が明るみに出るケースは比較的少なかったように思えるが、これはモノづくり大国でありながら現場のデジタル化が遅れていたためだと天野氏は指摘する。急速にデジタルトランスフォーメーションが推進される昨今、改めてインダストリアル分野でのセキュリティのあり方が問われている。

重要インフラへのサイバー攻撃の例

重要インフラへのサイバー攻撃の例

東芝はモノづくり企業として、「世界有数のサイバー・フィジカル・システム(CPS)(※1)テクノロジー企業」を目指し、デジタルトランスフォーメンションを加速している。そこで不可欠となるサイバー攻撃へのセキュリティ対策の専門組織として、2017年に「サイバーセキュリティセンター」を設立し、東芝グループの情報セキュリティおよび製品・サービスに対するセキュリティリスクを横断してマネジメントする体制を構築している。

 

※1:サイバー・フィジカル・システム(CPS)
実世界(フィジカル)でデータを収集し、サイバー世界でそれを分析、それをフィジカル側にフィードバックすることで付加価値を創造する仕組み。

「これまで情報セキュリティの分野では、“C・I・A”の3要素が重視されてきました。これは機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)、それぞれの頭文字を取ったもの。インダストリアル分野ではこれに加えて“H・S・E”、すなわち健康(Health)、安全(Safe)、環境(Environment)という3つを守る視点を交えて考えるべきとされています」(天野氏)。では、具体的にどのような対策を講じるべきか。これを考えるには、サイバー攻撃を行なうハッカー側の「目的」を考える必要があると天野氏は言う。

IoTセキュリティを考える独自の3方向視点

「ハッカーの側にも、単なる個人の愉快犯から国家レベルまで、様々なレベルがあります。過剰な投資を行っても業務やシステム運用において効率の低下を招き、無駄になってしまいます。まず、その対象を見極め、コストバランスを考慮した必要十分なセキュリティを継続的に実施していくことが必要です」(天野氏)

 

ハッカーの目的は、風評被害やサービス妨害を狙ったものから、組織ぐるみでエネルギー系企業の基幹システムを乗っ取ろうとする大掛かりなものまで、多岐にわたっている。

 

「だからこそ、スレットインテリジェンス(脅威情報)を早めに検知し、誰が何をしようとしているのかを正確に把握した上で、リスクベースでの対策を練る必要があります。とりわけインダストリアル分野でのIoTセキュリティに求められるのは、『継続的な監視』と『データの保護』でしょう。日々、システムが生成するデータを見張り、有事の際にそれをどう保護するか。そこで東芝ではセキュリティに関するアーキテクチャーを、3つの軸で概念化しています」(天野氏)

東芝セキュリティリファレンスアーキテクチャー

東芝セキュリティリファレンスアーキテクチャー

3つの軸のひとつはまず、前述の攻撃側のスキル。ハッカーのスキルレベルを意味し、一般ユーザーの不注意から国家レベルの攻撃まで、段階的に捉える必要がある。

 

2つ目の軸は、対象となるシステムの重要度。個人のパソコンから社会インフラ、さらには国家の中枢を司るシステムまで、段階に応じてセキュリティレベルを策定しようという考え方だ。

 

そして3つ目の軸が、「デジタルトランスフォーメーションの進化」という視点である。

 

「デジタルトランスフォーメーションにもレベルがあります。まず、データの流れを“見える化”することが起点となり、そこからシステムのさらなる効率化を求めてアップデートを重ねて行きます。そしてその先には自動化、AIによる自律化といった段階があります。最近よく耳にする『インダストリー4.0』(※2)が目指すのは自律化の段階で、このレベルに達する現場であれば、それだけ高度なセキュリティと投資が求められることになります」(天野氏)

つまり、攻撃側のスキルや企業活動の規模を勘案し、その対策レベルに応じたセキュリティをデザインしていこうという考え方だ。

つまり、攻撃側のスキルや企業活動の規模を勘案し、その対策レベルに応じたセキュリティをデザインしていこうという考え方だ。

 

※2:インダストリー4.0
ドイツ政府が推進する、製造業のデジタル化を目指す国家プロジェクト的コンセプトのこと。

これまでのAI技術を生かし、セキュリティ分野から社会に貢献

こうしたサイバーセキュリティの分野でも、やはり物を言うのはAIの技術だ。東芝は音声・映像・文字認識技術など、AIに関する技術開発に長年にわたり取り組み、多くの知見を有している。そして、セキュリティ対策を講じるにあたっては、人間やAIによるデータ分析力だけでなく、情報を生み出す製品・サービスなど、「モノ」そのものに対する信頼も重要視されている。

 

「現場から収集したデータを理解し、監視するという点で、デジタルトランスフォーメーションに必要とされた仕組みは、セキュリティのアーキテクチャーに通ずるものがあります。セキュリティの起点となるものは、物の信頼性と人の信頼性、大まかにはこの2点です。

もともと製造業である我々が得意とする、物や現場から情報やデータを収集、そしてサイバー空間でAI・デジタル技術を用いて分析・シミュレーションし、実世界にフィードバックする、このようにサイバー・フィジカル・システム(CPS)を掲げる企業としての強みを今後、セキュリティの分野でもいっそう発揮していくことになるでしょう」(天野氏)

CPSにおけるセキュリティ対策のフレームワーク(METI資料をもとに東芝が作成)

CPSにおけるセキュリティ対策のフレームワーク(METI資料をもとに東芝が作成)

天野氏をはじめ、モノづくりやAI技術に関わってきた人材が東芝のセキュリティに取り組み、アナリティクスAI 「SATLYS™(サトリス)」 や、コミュニケーションAI 「RECAIUS™(リカイアス)」などIoTデータを有機的に活用するモデルを展開してきた東芝は、セキュリティの分野でも一日の長がある。

 

サイバーセキュリティセンター長という要職に就く天野氏は、IT部門ではなくモノづくりの現場出身という、この分野では異色の経歴の持ち主。かつてアンテナの研究に従事し、その後タブレットの開発やテレビのクラウドサービスなどを手掛けたキャリアにより、天野氏はハードウェア部門とソフトウェア部門、そしてサービス部門の現場事情に精通している。これが現職に生かされているという。

 

そして東芝でもSDGs貢献への取り組みを強化する中、現職で注力しているのは、セキュリティ分野での「競争」ではなく「共創」を通じたグローバル規模での社会貢献だ。

 

「今後もセキュリティ技術のイノベーションやサイバーセキュリティリスクマネジメントに取り組み、より安全で持続可能な社会づくりに貢献していきます。また、製造業として、サプライヤーからパートナー、お客様まで、相互にデータを安全に利活用できるバリューチェーンの構築に寄与していきたいと思います。ただし、これらを実現するためには、全体で同じレベルのセキュリティを担保する必要があります。バリューネットワークでつながる、組織、人、モノ、データ全てを考慮したパートナーシップの構築が不可欠です。これまでの発想を変えて、セキュリティベンダーだけでなく、競合他社や政府などと共にパートナーシップを構築し取り組んでいきたいと思います」(天野氏)

 

東芝はこれからもセキュリティーガバナンスの強化とセキュリティ関連技術の開発に取り組み、社会の安心・安全を支えていく。

「天野氏の立ち姿」

関連サイト

※ 関連サイトには、(株)東芝以外の企業・団体が運営するウェブサイトへのリンクが含まれています。

東芝レビュー 73巻5号(2018年9月) | 東芝レビュー | 東芝

サイバーセキュリティ | 東芝のCPS | 東芝

サイバーセキュリティ | 東芝のCPS | 東芝

Related Contents