インターネットと「つながなければ安全」か?
江崎:システムをセーフティにするために、外部のネットワークとはつなぎませんというようなことを平気でおっしゃる企業がありますが。
佐々木:現実問題として、日本の産業がグローバルに生き残っていくためには、ネットワークにつながないという選択肢はないと思います。
江崎:「外部のネットワークとつなぐ危険性」よりも、ビルを掃除する人を含めて、ビルをメンテナンスする人たちが、比較的自由に出入りできてしまうことのほうが問題です。これでは、守りようがありません。こちらのセキュリティのほうが、よほど重要ではないかと思うのです。
一方で、コンピュータルーム(EDP室)への出入りは厳重なので、セキュリティを守りやすいところがありますよね。
名和:そうですね。私の担当したある交通関係の会社で、少し高齢な経営層の方ですが、セキュリティを守るために「インターネットをすべて遮断」して、ビジネスを展開されているという例もあります。
江崎:それは逆に、危ないじゃないですか。
名和:そのとおりで、危ないことが発生すると思います。しかし、その会社の(OT領域の)現場の創意工夫で、スニーカーネット(Sneakernet注5)という「人間を介したデータ流通ネットワーク」がつくられていまして、USBメモリや昔ながらのMO(光磁気ディスク)などを使用して、実際にデータがやり取りされていました。
現場では異常発生時に、システム稼働の安定確保のために、あらゆる手段で解決することになっているのですが、スニーカーネットを多用したデータの授受が、“まさに”行われていました。データそのものの安全性(真正性や完全性)が確保されず、人間のデータ誤用によって偶発的な事故が発生する懸念がありますので、これは驚きでした。
江崎:それはまさに、ぼろぼろの企業ですね。
名和:スニーカーネットのことは、IT部門の方には詳細に伝えられていないネットワークなのです。事業そのものに関与していないIT部門には伝える必要がない、と認識されていました。会社としてデータのやり取りについてコントロール、あるいはガバナンス(統制)する必要があるはずですが、OT領域においては、USBメモリやMOは「機械設備の一部だ」という扱いで整理されているのです。
江崎:それらを見逃しているのでしょうか。
名和:いえ、そこは正直にいいますと、互いに専門やバックグラウンドが違うので言葉が通じない、つまり意思疎通ができないのです。設備技術者がいて、機械技術者がいて、通信技術者がいて、それぞれ独自に仕事している、という具合なのです。ですから、OT領域においてはパソコンは1つの設備なので、パソコンという設備にソフトウェアやモジュールなどが載っている。それを設備と呼んで何が悪いのですか、ということなのです。
あなたこそ、IoTがわかっていない!
江崎:そもそもIoTをわかっていない人が多いということですね。
名和:いや、そうではありません。その逆です。彼らからすると、私(名和)のほうこそ、まったくわかっていない人だと言われています。
江崎:しかし、ビジネスモデルの話としてみると、彼らのロジックは、「ミニマムエフォートでシステムをつくって」「つなげなくてよくて」「利益をかせぐ」というパターンではないでしょうか。
名和:いや、そこは見方の問題だと思います。彼らは、2001年にマイクロソフトが発表したWindows XP(Windowsシリーズに属するOSの1つ)についても、その当時の技術者が、しっかり検証して、安定稼働することや継続運用できることを何重にも確認してから導入しているのです。
OT領域の現場としては、安定稼働や継続運用が一番の優先課題ですから。
江崎:かなりのエクスキューズ(言い訳)ではないかと思うのですが。
名和:現場に行くとそれが当たり前です。現場は、命をかけてシステム(設備)を守り、安定稼働を最優先しています。まさに、「ジャパニーズクオリティ」(日本品質)としてのシステムなのです。
佐々木:実際に、マルウェア感染した状態であっても、設備を動かし続けることが最優先であれば、そちらを選択する場合もあると思います。問題なのは、そのような判断が、経営への影響とのトレードオフ(交換条件)をしたうえでのトップダウンではなく、隠ぺい体質のもとに現場で行われているということです。
江崎:それは、セキュリティリスクを全然考えてないということですよね。
名和:ええ。そういうリスクについて、状況認識ができていないというところは確かにあるかもしれません。怖さを知らないのです。現状では、そのような怖さを教えてくれるベンダも少ないですし、また行政機関や警察機関も「推奨事項」を中心にアドバイスするだけなのです。
▼ 注5
スニーカーネット:インターネットなどを含む通信ネットワークが、まだ普及・整備されていない時代に、スニーカー(スポーツシューズ)を履いた社員がUSBやMO(Magneto-Optical disk、光磁気ディスク)などを人的に運んでデータをやり取りする、仮想的なネットワークのこと。
