―編集部:Justinさんの自己紹介をしていただけますか?
Justin:私はSANS Institute注1ではSANS認定シニアインストラクターで、ICS注2関連の、またInGuardians社注3でもサイバーセキュリティ関連の業務を担当しています。
この分野に携わって約18年になりますが、専門分野はスマートグリッドで、中でも水道や下水施設など「水」関連施設が中心です。ひたすら、サイバー攻撃を見続けて脆弱性を特定し、どうすればセキュリティを効率的に担保できるのかを追及し続けています。
IoT/IIoTとICS のサイバーセキュリティ
―編集部:IoTにおけるサイバー攻撃の実情はどのようなものでしょうか。
Justin:まず、サイバー攻撃はなぜ起こっているのか、を理解しなければなりません。金銭的な利益を得る、企業機密を搾取する、テロのように社会に恐怖を与えるなど、さまざまな理由があるはずです。同時にどのように攻撃されているのかを知ることも重要です。
一方、IoTはますます定着し、かつその技術も進歩しています。ところが、IoTは極めて短時間で開発されかつベンダ間競争も激しいので、プロトコルに十分なセキュリティ機能を組み込めていないのが実情です。特に住宅向けスマートデバイスは、この傾向が強いと思います。しかし、コントロールデバイス側は必ずしもそうではありません。いま私たちは、この分野のIoTを産業用IoT(IIoT:Industrial IoT)と呼ぶことにしています。
―編集部:IIoTの現状はどうですか?
Justin:IIoTにおけるスマートメーターや広範に及ぶセンサーネットワークはコストが安く、かなり普及してきています。サイバーセキュリティにおける脆弱性やマルウェアは、コンシューマ向けIoTでは数多く見受けられますが、IIoTではそれほどではありません。
IIoTを対象としたインシデントが少ないのは、ハッカーたちがIIoTを攻撃する際には、システムの近くで、しかも物理的に攻撃しなければならないからです。そうなると、攻撃者はつかまってしまうかもしれません。
こうした理由が背景にあって、ICSへの攻撃は、現状では大きなシステムに対するインシデントが多く、しかも、ほとんどがワイヤレス通信の脆弱性を衝いたものです。
▼ 注1
SANS Institute:政府や企業・団体間における研究、およびそれらに所属する人々のITセキュリティ教育を目的として、1989年に設立された組織(本部:米国ワシントンD.C.)。
メンバーの中心は、ネットワーク社会の健全な発展のために労を惜しまず調査・研究を行っている政府機関や企業、大学の関係者などで、彼らが調査・研究した成果物(情報リソース)は、ニュースダイジェストやリサーチサマリー、脆弱性情報、その他研究報告書などにまとめられ、世界各国に配信されている。
情報セキュリティ分野に特化した教育機関として、設立以来、16万5,000人を超えるセキュリティの専門家や情報システム監査人、ネットワーク管理者などに、情報セキュリティ教育プログラムや各種セキュリティ情報・意見交換の場などを提供している。
▼ 注2
ICS:Industrial Control System、産業用制御システム。SCADA(監視制御システム) はじめ分散制御システム、プログラマブルコントローラなど産業プロセスの管理や制御を司るシステムおよび関連技術
▼ 注3
InGuardians, Inc.:独立系情報セキュリティコンサルティング会社。所在地はワシントンD.C.、2003年設立。
