[重要インフラサイバーセキュリティコンファレンス2021 レポート]

これからの重要インフラシステム・制御システムに求められるセキュリティ

2021/04/11
(日)
インプレスSmartGridニューズレター編集部

あらゆる産業分野でデジタルトランスフォーメーション(DX)(注1)が進展し、企業システムは拡大し増大している。OT(Operational Technology)の環境では多くのIT技術が使われてITとOTの融合が進み、その結果、クラウドを経由したITシステムへの攻撃が、OT環境へのセキュリティ事故につながるようになってきた。さらに、世界中で感染拡大した新型コロナウイルス感染症(COVID-19)の影響を受けてリモートワークが増え、それを突いた新たな攻撃も起こっている。
サイバー攻撃による危機はますます高まり、その攻撃も高度化・多様化している。そのため企業は、セキュリティに対する意識や基本理念を一新し、その取り組みを再考する必要に迫られている。
ここでは、2021年2月9日(火)〜10日(水)に開催された「第5回 重要インフラサイバーセキュリティコンファレンス」(注2)から、同コンファレンスの共同委員長である新 誠一(しん せいいち)氏と渡辺 研司(わたなべ けんじ)氏、アドバイザリーボードの佐々木 弘志(ささき ひろし)氏に取材し、レポートする。

新しいフェーズを迎えたサイバーセキュリティ

Seiichi Shin

〔1〕いつインシデントが起こってもおかしくない

「第1回の重要インフラサイバーセキュリティコンファレンスを開催した2017年頃、多くの参加者から、どこの会社がサイバー攻撃を受け、その感染源はどこですか、と熱心に聞かれました。しかし現在では、そのような質問をする人はいなくなりました。それは自分の会社が、いつマルウェアに感染してもおかしくない状況であることを認識するようになったからです」と、電気通信大学 名誉教授の新 誠一氏は語る。

 このような状況の変化を迎える中で、DXという言葉が産業分野を問わず広く普及し、企業や組織は情報システムの老朽化によって生じる莫大な社会損失をどのように克服していくか、その取り組みが活発化している。

 一方、COVID-19が急拡大し、日本では2020年4月7日に緊急事態宣言が発出され、企業や学校の多くでリモート会議や在宅勤務、遠隔教育が開始されたが、日本はいかにIT化が進んでいないかということも明らかになった。例えば、COVID-19の感染者数の集計は、旧来の電話やFAXによる手作業での集計のため、膨大な時間と労力がかかった。

 そのような中、リモート作業のため、セキュアであるとされていたVPN回線を確保しようとしたら、回線が足りない。さらに使い始めたら、VPNに脆弱性があることも判明した〔図1(1)〕。このため、VPNを使用していたある企業では、重要な防衛関係の機密情報が盗まれるという重大事件も発生した。

図1 最近増加しているサイバー攻撃の例:VPNへの攻撃とEmotetによる攻撃

図1 最近増加しているサイバー攻撃の例:VPNへの攻撃とEmotetによる攻撃

出所 経済産業省「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」2020年12月18日

 2019年頃からは新型のマルウェア「エモテット(Emotet)」注3〔図1(2)〕が登場し、2020年6月頃には、それによる感染事例が急速に増大した。さらにランサムウェア(身代金要求型不正プログラム)攻撃も進化してきている。実際に、日本の内外に工場をもつ自動車会社では、すべての工場の操業を停止せざるを得なくなった深刻な事件も起こっている。

〔2〕次々に結成されるISACと課題となる企業の取り組み

 これらの増大するインシデントに対応するため、政府が指定する重要インフラ14分野注4では、次々に情報共有組織「ISAC」注5が設立されている。例えば、電力分野では、電力システム改革のもとに、小売電気事業者が707社(2021年2月19日現在)にも達しているが、その電力の安定供給を目指すセキュリティ対策組織「電力ISAC」が、すでに2017年3月に設立され活動している。

 しかし、サイバー攻撃は、年々高度化し、企業ごとに使用されている通信プロトコルやセキュリティ対策に合わせた形のマルウェアを開発し、緻密な攻撃をしてくるようになってきた。働き方改革や新型コロナウイルスの影響もあり、リモートワークや自動化が増加してきているため、セキュリティ対策はもはやファイアウォールなどによる水際対策(境界対策)では、防御しきれない状況を迎えている。そこで浮上してきたのが、新しいセキュリティモデル「ゼロトラスト(Zero Trust)」注6である。

「今や、企業は日々、しかも秒単位で恐ろしいほどのサイバー攻撃を受けています。この厳しい攻撃の現状を認識し、企業のBCP(事業継続計画)を左右するのは、CISO(最高情報セキュリティ責任者)であり、その役割はますます重要になってきています。そして、CISOを中心に、NIST(米国国立標準研究所)やIEC(国際電気標準会議)などによるセキュリティに関する国際標準化の動向をとらえながら、サイバーセキュリティ対策を実施していくことがトレンドになってきています。」

 新氏は、新しいフェーズを迎えたサイバー攻撃に対して、ISACなどとの連携を深め、CISOを中核とした全社的な企業防衛システムへの取り組みが喫緊の課題となってきていることをアピールした。


▼ 注1
DX:Digital Transformation、デジタルトランスフォーメーション。デジタル技術によって企業のビジネスモデルを変革すること。

▼ 注2
第5回 重要インフラサイバーセキュリティコンファレンス&第2回産業サイバーセキュリティコンファレンス

▼ 注3
エモテット(Emotet):感染力・拡散力が強いマルウェアの一種。正規のメールへの返信を装う手法で、ウイルス感染などを狙う。

▼ 注4
重要インフラ14分野:情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス(地方公共団体を含む)、医療、水道、物流、化学、クレジット、石油の14分野。

▼ 注5
ISAC:Information Sharing and Analysis Center、アイザック。重要インフラにおけるBCP対策の一環として、同じ業界の事業者で構成されるセキュリティをはじめとする脅威情報の情報共有組織。ICT(情報通信)-ISAC、金融ISAC、電力ISAC、交通ISAC、J-Auto-ISAC(自動車ISAC)、Software(ソフトウェア) ISACなどがある。

▼ 注6
ゼロトラスト:Zero Trust。「すべて信頼できない」(ゼロトラスト)ことを前提とした新しいセキュリティモデル。2010年に提唱された。サイバー攻撃は「外部から」だけでなく「内部から」も起こり得ることを前提に、「通信アクセスをすべて可視化・検証すること」などによって防御する。

ページ

関連記事
新刊情報
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...
5Gの技術からビジネスまですべてがわかる 5Gは社会や産業に何をもたらすのか? といったビジネス関連のトピックから、その変革はどのようなテクノロジーに支えられているのか?といった技術的な内容まで、わ...
本書は、特に産業用の5G/IoTの利用について焦点を当て、MWC19 Barcelona での産業用IoTに関する最新動向や、国内外の最新動向の取材をもとに、5Gの市場動向やビジネスモデルをまとめた解...