[【創刊5周年記念】特別座談会 IoT時代のサイバーセキュリティにどう対処すべきか]

【創刊5周年記念】特別座談会 IoT時代のサイバーセキュリティにどう対処すべきか ≪前編≫

― 本当の考えるべき危機はどこにあるのか ―
2017/11/09
(木)
インプレスSmartGridニューズレター編集部

2020年夏に開催が予定されている、東京オリンピック・パラリンピックを間近に控え、国際的にサイバーセキュリティ攻撃が激化している。総務省やIPA(独立行政法人情報処理推進機構)の発表によれば、従来、サイバー攻撃の対象は企業の業務システムやWebサイトなどの「情報システム」が主体であったが、近年は、イランの核施設をはじめドイツの製鉄所やウクライナの電力システム(変電所)の「制御システム」に至るまで、そのターゲットを広げて攻撃されている。
さらに、IoT時代を迎える2020年には、各種センサーをはじめ、家電や自動車、医療や産業などの各種機器など、200億個とも500億個ともいわれるIoTデバイスが接続されるとあって、IoTシステムへのサイバー攻撃への対応も迫られている。
事実、2017年5月にIPAが発表した「情報セキュリティの10大脅威 2017」(後出の表2を参照)では、個人および組織におけるIoT機器への脅威が、ともに「10大脅威」にランク入りするなど、その攻撃の激しさが増大し、拡大してきている。
ここでは、IoT時代のサイバーセキュリティについて、本当に考えるべき危機と課題について議論していただいた。
【座談会出席者】<司会>東京大学 情報理工学系研究科 教授 江崎 浩(えさき ひろし)氏、
株式会社サイバーディフェンス研究所 専務理事・上級分析官 名和 利男(なわ としお)氏、
マカフィー株式会社 サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP 佐々木 弘志(ささき ひろし)氏

サイバー攻撃の脅威を前提とした対策が必要とされるIoTの現場

江崎:2020年には200億〜500億個のIoTデバイスが接続される時代を迎えるといわれています(図1)が、現在でも国際的にサイバーセキュリティ攻撃が激化しています(表1、表2)。

図1 IoT時代に2020年には200億〜500億個のIoTデバイスが接続されるイメージ

図1 IoT時代に2020年には200億〜500億個のIoTデバイスが接続されるイメージ

出所 IPA「情報セキュリティ IoTのセキュリティ」

表2 情報セキュリティの10大脅威 2017(IPA発表)

表2 情報セキュリティの10大脅威 2017(IPA発表)

備考①情報セキュリティ専門家を中心に構成する「10大脅威選考会」の協力によって、2016年に発生したセキュリティ事故や攻撃の状況等から脅威を選出し、投票によって順位付けされた。
②スマートフォンが普及し金銭をだまし取られる等の被害に遭うケースが発生しており、スマートフォンのセキュリティ対策も必須となってきている。
③2016年はランサムウェア(※)による被害が拡大。個人・組織の両面においてIoT機器への脅威が登場。また、2016年の後半には、設定が十分でないIoT機器を狙い、IoT機器をボット(注1)化し、DDoS攻撃(ディードス攻撃注2)に悪用する、「Mirai」と呼ばれるウィルスが猛威を振るった。
※ランサムウェア(Ransomware:身代金要求型ウィルス)に感染すると、自分のパソコンだけではなく、組織内の別のサーバのファイルも暗号化されてしまうため、組織にとっては、警戒すべき脅威である。
(注1)ボット(BOT):コンピュータウィルスの一種(ボットウィルス)。パソコンがボットウィルスに感染すると、従来のウィルスと異なり、攻撃者が送ってくる命令を待つようになり(感染したことが分かりにくい)、命令がくると感染したパソコンから情報が盗まれたりする。攻撃者は命令によってパソコンを「ロボット(Robot)」のように操れることに由来して命名された。
(注2)DDoS(ディードス)攻撃:Distributed Denial of Service attack、分散型サービス不能攻撃。標的とするサーバ(コンピュータ)に、複数のコンピュータから大量のパケットを送りつけ、ネットワークを輻輳(渋滞)させ、サーバのサービス機能を停止させてしまう攻撃。
出所 IPA「情報セキュリティ10大脅威 2017」、2017年5月をもとに編集部作成

 IoTセキュリティ脅威の全体像として、図2に示すような体系的なマップが例として発表もされています。外側からCyber Warefare(サイバー戦争)、Cyber Criminals(サイバー犯罪)、Ransomeware(身代金ウィルス)が企業や組織に向かっていて、これらがIoTセキュリティの脅威を生んでいます。

図2 IoTセキュリティ脅威のマップ:安価で普及した、高機能なエッジ・デバイスが新たな攻撃面を作り出す

図2 IoTセキュリティ脅威のマップ:安価で普及した、高機能なエッジ・デバイスが新たな攻撃面を作り出す

ローカルネットワーク:Wi-FiやBluetooth、ZigBeeなどによるセンサーネットワーク等
DPA:Differential Power Analysis、差分電力解析。暗号を処理しているデバイスの消費電力を複数回測定して、その平均から秘密鍵を推測する攻撃のこと。消費電力を複数回測定するのは、消費電力を測定する場合に測定誤差をできるだけ小さくするため。
出所 Beecham Research(英国の調査会社、1991年設立)
〔参考〕DoD Policy Recommendations for The Internet of Things (IoT)、December 2016

 また、実際に観測されたサイバー攻撃の対象についても、図3のように発表されています。

図3 NICT(情報通信研究機構)で観測されたサイバー攻撃の対象

図3 NICT(情報通信研究機構)で観測されたサイバー攻撃の対象

NICT:Institute of Information and Communications Technology、国立研究開発法人情報通信研究機構
出所 「サイバーセキュリティの現状と総務省の対応について」、平成29(2017)年1月30日

Hiroshi Esaki

 最近では、総務省から、「IoTセキュリティ総合対策」注1が2017年10月に発表され、日本でIoTシステムのセキュリティ対策を総合的に推進するため、その取り組むべき課題が整理され、(1)脆弱性対策に係る体制の整備、(2)研究開発の推進、(3)民間企業等におけるセキュリティ対策の促進、(4)人材育成の強化、(5)国際連携の推進、などを中心に取り組みが開始されています。

 そこで、まず、IoT時代のサイバーセキュリティについて、サイバー空間(インターネット利用環境)と実空間(現場におけるIoTシステム環境)の関係について、お聞きしたいと思います。

名和:最近、企業が攻撃される内容やプレイヤー(システムの現場担当者)がかなり変わってきているという印象を受けています。

 これまでのITシステムにおけるサイバー空間の利用(インターネットの利用)は、企業のビジネス効率を追求することがメインでした。ところが、IoTを使ったシステム(サイバー空間)の場合には、目的ががらりと変わってきます。

 従来のITシステムの場合、コストセンターともいわれるITシステム部門の担当者が、サイバーセキュリティ対処の主人公になっています。私が、サイバー攻撃を解決するために緊急要請を受けて対処支援のためその企業に行くと、ITシステム部門の担当者にはどことなく、「システムが止まってもやむを得ない」という雰囲気が漂っています。ところが、IoTシステムに近いところでインシデント(サイバーセキュリティ攻撃)が発生し、同様に対処支援のために行くと、その現場は殺気立っているのです。売り上げが下がるということが目前に迫っている、あるいは社内横断的なプロジェクトが進んでいる場合には、周辺に迷惑がかかることに非常に敏感になっているのです。

 お金(売り上げ)に直結する現場、すなわち実空間のビジネス領域においては、意識が大きく変化してきているという印象を強く受けています。

江崎:そんなに変化しているのですか。

 ところで、2016〜2017年にかけて、日本では、電力やガスの小売全面自由化が行われました。電力市場における競合他社に対応するため、電力業界では、ネットワーク化による事業の効率化がいっそう求められるようになりました。このため、情報系システム(IT)と連携する電力システムの制御系システム(OT:Operational Technology)についても、外部からのサイバー攻撃の可能性が増してきており、サイバー攻撃の脅威が存在することを前提とした対策が必要とされています(図4)。

図4 電力分野における情報系システム・制御系システムの連携

図4 電力分野における情報系システム・制御系システムの連携

出所 経済産業省、「電力分野におけるサイバーセキュリティ対策について」、平成28(2016)年7月1日

 エネルギーの分野で、何かサイバーセキュリティ関連のトピックはありますか。

名和:今年(2017年)に入って、私の担当するエネルギー分野でマルウェア注2が発見されました。これは、システムの委託業者から感染したことが明らかでしたが、誰もその責任を負いたくなかったのか、あるいは同時に他の不具合が発見されたためか、「故障」ということにして解決させた現場が複数箇所あります。これも、IoTといってよいかどうかわかりませんが、OTにおけるインシデントです。

江崎:佐々木さんは、最近のサイバーセキュリティの実態について感じていることはありますか。

佐々木:IoTの世界では、すべてのモノ(デバイス)がネットワークにつながってきます。このためOECD注3の情報セキュリティのためのガイドライン注4では、情報システムに関するサイバーセキュリティについて、CIA(Confidentiality:機密性、Integrity:完全性、Availability:可用性)が定義されています(図5)。

図5 情報セキュリティにおけるCIA(機密性、完全性、可用性)

図5 情報セキュリティにおけるCIA(機密性、完全性、可用性)

出所 岡村久道、「情報セキュリティと法制度」

 Availability、つまり、システム上に流通している情報に対してアクセス権をもっている人が、いつでもアクセスできるようになっていることについて、よく話をするのですが、現場の方はCIAがよくわからない。そのため、結局、彼らのプライオリティ(優先順位)はセーフティ(安全性)が第一であり、それがすべてなのです。

 このため、話がかみ合わないところがあります。現実問題として、IoTに真剣に取り組むのでしたら、このようなCIAを必須と考えなくてはいけない。しかし、システム担当者の理解が追いついていないのです。そのうえ、社内の人同士のつながりがまだ弱いところがあります。その点が、実は現場におけるサイバー攻撃に対する一番の脆弱性なのではないかと思っています。


▼ 注1
総務省におけるサイバーセキュリティタスクフォース:「IoTセキュリティ総合対策」

▼ 注2
マルウェア:Malwareは、Malicious(悪意のある)とSoftware(ソフトウェア)を組み合わせた造語。悪意のあるソフトウェアは総称して、マルウェアと呼ばれる。マルウェアには、プログラムの一部を書き換え(改ざん)て自己増殖する「ウィルス」(Virus)や、他のプログラムに関係なく単独で自己増殖する「ワーム」(Worm)などの種類がある。

▼ 注3
OECD:Organisation for Economic Co-operation and Development、経済協力開発機構。1948年4月発足。先進国間の自由な意見交換・情報交換を通じて、(1)経済成長、(2)貿易自由化、(3)途上国支援に貢献することを目的としている。「OECDの三大目的」といわれる。

▼ 注4
OECD 情報セキュリティのためのガイドライン:1992年、情報システムセキュリティガイドライン『OECD Guidelines for the Security of Information Systems』に関する理事会による勧告、およびその付属文書として発表された。5年ごとに見直される。

ページ

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...