サイバー攻撃の脅威を前提とした対策が必要とされるIoTの現場
江崎:2020年には200億〜500億個のIoTデバイスが接続される時代を迎えるといわれています(図1)が、現在でも国際的にサイバーセキュリティ攻撃が激化しています(表1、表2)。
図1 IoT時代に2020年には200億〜500億個のIoTデバイスが接続されるイメージ
表1 日本国内および海外の最近の大きなサイバー攻撃の事例
表2 情報セキュリティの10大脅威 2017(IPA発表)
備考①情報セキュリティ専門家を中心に構成する「10大脅威選考会」の協力によって、2016年に発生したセキュリティ事故や攻撃の状況等から脅威を選出し、投票によって順位付けされた。
②スマートフォンが普及し金銭をだまし取られる等の被害に遭うケースが発生しており、スマートフォンのセキュリティ対策も必須となってきている。
③2016年はランサムウェア(※)による被害が拡大。個人・組織の両面においてIoT機器への脅威が登場。また、2016年の後半には、設定が十分でないIoT機器を狙い、IoT機器をボット(注1)化し、DDoS攻撃(ディードス攻撃注2)に悪用する、「Mirai」と呼ばれるウィルスが猛威を振るった。
※ランサムウェア(Ransomware:身代金要求型ウィルス)に感染すると、自分のパソコンだけではなく、組織内の別のサーバのファイルも暗号化されてしまうため、組織にとっては、警戒すべき脅威である。
(注1)ボット(BOT):コンピュータウィルスの一種(ボットウィルス)。パソコンがボットウィルスに感染すると、従来のウィルスと異なり、攻撃者が送ってくる命令を待つようになり(感染したことが分かりにくい)、命令がくると感染したパソコンから情報が盗まれたりする。攻撃者は命令によってパソコンを「ロボット(Robot)」のように操れることに由来して命名された。
(注2)DDoS(ディードス)攻撃:Distributed Denial of Service attack、分散型サービス不能攻撃。標的とするサーバ(コンピュータ)に、複数のコンピュータから大量のパケットを送りつけ、ネットワークを輻輳(渋滞)させ、サーバのサービス機能を停止させてしまう攻撃。
出所 IPA「情報セキュリティ10大脅威 2017」、2017年5月をもとに編集部作成
IoTセキュリティ脅威の全体像として、図2に示すような体系的なマップが例として発表もされています。外側からCyber Warefare(サイバー戦争)、Cyber Criminals(サイバー犯罪)、Ransomeware(身代金ウィルス)が企業や組織に向かっていて、これらがIoTセキュリティの脅威を生んでいます。
図2 IoTセキュリティ脅威のマップ:安価で普及した、高機能なエッジ・デバイスが新たな攻撃面を作り出す
ローカルネットワーク:Wi-FiやBluetooth、ZigBeeなどによるセンサーネットワーク等
DPA:Differential Power Analysis、差分電力解析。暗号を処理しているデバイスの消費電力を複数回測定して、その平均から秘密鍵を推測する攻撃のこと。消費電力を複数回測定するのは、消費電力を測定する場合に測定誤差をできるだけ小さくするため。
出所 Beecham Research(英国の調査会社、1991年設立)
〔参考〕DoD Policy Recommendations for The Internet of Things (IoT)、December 2016
また、実際に観測されたサイバー攻撃の対象についても、図3のように発表されています。
図3 NICT(情報通信研究機構)で観測されたサイバー攻撃の対象
NICT:Institute of Information and Communications Technology、国立研究開発法人情報通信研究機構
出所 「サイバーセキュリティの現状と総務省の対応について」、平成29(2017)年1月30日
最近では、総務省から、「IoTセキュリティ総合対策」注1が2017年10月に発表され、日本でIoTシステムのセキュリティ対策を総合的に推進するため、その取り組むべき課題が整理され、(1)脆弱性対策に係る体制の整備、(2)研究開発の推進、(3)民間企業等におけるセキュリティ対策の促進、(4)人材育成の強化、(5)国際連携の推進、などを中心に取り組みが開始されています。
そこで、まず、IoT時代のサイバーセキュリティについて、サイバー空間(インターネット利用環境)と実空間(現場におけるIoTシステム環境)の関係について、お聞きしたいと思います。
名和:最近、企業が攻撃される内容やプレイヤー(システムの現場担当者)がかなり変わってきているという印象を受けています。
これまでのITシステムにおけるサイバー空間の利用(インターネットの利用)は、企業のビジネス効率を追求することがメインでした。ところが、IoTを使ったシステム(サイバー空間)の場合には、目的ががらりと変わってきます。
従来のITシステムの場合、コストセンターともいわれるITシステム部門の担当者が、サイバーセキュリティ対処の主人公になっています。私が、サイバー攻撃を解決するために緊急要請を受けて対処支援のためその企業に行くと、ITシステム部門の担当者にはどことなく、「システムが止まってもやむを得ない」という雰囲気が漂っています。ところが、IoTシステムに近いところでインシデント(サイバーセキュリティ攻撃)が発生し、同様に対処支援のために行くと、その現場は殺気立っているのです。売り上げが下がるということが目前に迫っている、あるいは社内横断的なプロジェクトが進んでいる場合には、周辺に迷惑がかかることに非常に敏感になっているのです。
お金(売り上げ)に直結する現場、すなわち実空間のビジネス領域においては、意識が大きく変化してきているという印象を強く受けています。
江崎:そんなに変化しているのですか。
ところで、2016〜2017年にかけて、日本では、電力やガスの小売全面自由化が行われました。電力市場における競合他社に対応するため、電力業界では、ネットワーク化による事業の効率化がいっそう求められるようになりました。このため、情報系システム(IT)と連携する電力システムの制御系システム(OT:Operational Technology)についても、外部からのサイバー攻撃の可能性が増してきており、サイバー攻撃の脅威が存在することを前提とした対策が必要とされています(図4)。
図4 電力分野における情報系システム・制御系システムの連携
エネルギーの分野で、何かサイバーセキュリティ関連のトピックはありますか。
名和:今年(2017年)に入って、私の担当するエネルギー分野でマルウェア注2が発見されました。これは、システムの委託業者から感染したことが明らかでしたが、誰もその責任を負いたくなかったのか、あるいは同時に他の不具合が発見されたためか、「故障」ということにして解決させた現場が複数箇所あります。これも、IoTといってよいかどうかわかりませんが、OTにおけるインシデントです。
江崎:佐々木さんは、最近のサイバーセキュリティの実態について感じていることはありますか。
佐々木:IoTの世界では、すべてのモノ(デバイス)がネットワークにつながってきます。このためOECD注3の情報セキュリティのためのガイドライン注4では、情報システムに関するサイバーセキュリティについて、CIA(Confidentiality:機密性、Integrity:完全性、Availability:可用性)が定義されています(図5)。
図5 情報セキュリティにおけるCIA(機密性、完全性、可用性)
Availability、つまり、システム上に流通している情報に対してアクセス権をもっている人が、いつでもアクセスできるようになっていることについて、よく話をするのですが、現場の方はCIAがよくわからない。そのため、結局、彼らのプライオリティ(優先順位)はセーフティ(安全性)が第一であり、それがすべてなのです。
このため、話がかみ合わないところがあります。現実問題として、IoTに真剣に取り組むのでしたら、このようなCIAを必須と考えなくてはいけない。しかし、システム担当者の理解が追いついていないのです。そのうえ、社内の人同士のつながりがまだ弱いところがあります。その点が、実は現場におけるサイバー攻撃に対する一番の脆弱性なのではないかと思っています。
▼ 注1
総務省におけるサイバーセキュリティタスクフォース:「IoTセキュリティ総合対策」
▼ 注2
マルウェア:Malwareは、Malicious(悪意のある)とSoftware(ソフトウェア)を組み合わせた造語。悪意のあるソフトウェアは総称して、マルウェアと呼ばれる。マルウェアには、プログラムの一部を書き換え(改ざん)て自己増殖する「ウィルス」(Virus)や、他のプログラムに関係なく単独で自己増殖する「ワーム」(Worm)などの種類がある。
▼ 注3
OECD:Organisation for Economic Co-operation and Development、経済協力開発機構。1948年4月発足。先進国間の自由な意見交換・情報交換を通じて、(1)経済成長、(2)貿易自由化、(3)途上国支援に貢献することを目的としている。「OECDの三大目的」といわれる。