変化するサイバー攻撃の産業分野への拡大
写真1 開会の挨拶を述べる新 誠一コンファレンス共同委員長
コンファレンス共同委員長の新 誠一(しん せいいち)氏(写真1、電気通信大学 名誉教授)は開会の挨拶において、「コンファレンスは重要インフラ中心ですが、今回のコンファレンスでは病院や流通、物流、大企業・中小企業によるさまざまな分野による講演があり、このような広がりは昨今のサイバー攻撃の様相の変化によるものと思っています」と述べた。
また、サイバーセキュリティ対策の産業の拡がりに加えて、「サプライチェーン」が重要なキーワードになっていて、昨年(2021年)に大きな混乱があったことも述べ、この混乱の一因にサイバー問題があったと続けた。
さらに、「重要インフラ機器に限らず現在の機器は多数の部品とソフトウェアから成っている」とし、これらの安全を担保し、非常時にどのようにバックアップしていくのかという対策が重要である点にも触れた。
最後に新氏は、「今回のコンファレンスで、国内外の動向を参加者の皆様と共有し、社会の安心・安全を進めていきたい」と締めくくった。
重要インフラ/産業分野におけるサイバー攻撃の動向とサイバーセキュリティ政策
初日2月16日(水)の基調講演では、経済産業省 サイバーセキュリティ・情報化審議官の江口 純一(えぐち じゅんいち)氏が、「産業分野におけるサイバーセキュリティ政策」と題して講演を行った。その後、コンファレンス共同委員長の渡辺 研司(わたなべ けんじ)氏(名古屋工業大学 教授でNISC サイバーセキュリティ戦略本部 重要インフラ専門調査会 会長)と、重要インフラおよび産業分野におけるサイバー攻撃の動向やサイバーセキュリティ政策について対談が行われた(写真2)。
写真2 経済産業省 サイバーセキュリティ・情報化審議官の江口 純一氏(右)とコンファレンス共同委員長の渡辺 研司氏(左)
江口氏は、昨今の組織向け情報セキュリティ脅威で上位に上がっている「ランサムウェア」や「標的型攻撃による機密情報の窃取」の内外の事例を挙げ、今やサイバー攻撃は、ITやデジタル技術を利用する企業活動においては、産業界(経営)に大きな影響を与えているとし、政府の重要インフラ サイバーセキュリティの主な取り組みと、国としての対処能力の強化などについて述べた。
〔1〕地域単位のサプライチェーンの取り組み
昨今、攻撃者はフィジカル(物理的)にダメージを与えるためにサイバー攻撃をしかけ、一方の攻撃の受け手側もサイバーフィジカルのセキュリティフレームワークを適用しなければならないという世界になってきた。後半の江口氏と渡辺氏との対談では、そのようなサイバーフィジカルの世界において、企業の事業継続計画(BCP)や事業継続マネジメント(BCM)への影響やサイバーセキュリティ人材の課題、教育などのほか、最近キーワードとなっているサプライチェーンについても議論された。
渡辺氏は、重要インフラにおける地域単位のサプライチェーンの枠組みの中で、中部電力が中心となって通信や鉄道、道路、金融、ガス分野の企業に加えて警察も参加して取り組んでいる例を挙げ、このような地域単位での活動の評価や全国展開への展望について質問した。
これに対して江口氏は、「1組織ですべてに対応したり情報を得たりするには、限界があると思います。現在、多くの企業がサイバー攻撃を受けている中にあっても、直接被害を受けたという経験はそう多くはないと考えられます。そのような意味からも、他社の事例に学んで世の中の動向を知り、関係者や他者の見方について情報を集めて知見として組織の中に蓄積していくことが重要だと考えます」と述べた。
さらに、「その際、顔の見える付き合い、または信頼しあった仲で情報を提供しあえることも重要だと思います。そのような意味においても、企業グループ内や地域のサプライチェーンにおける活動は、うまく情報共有・取得できる1つの手法であり、かつ有効な取り組みであると思います。仮に地域で限界があった場合には、地域間⇒オールジャパン⇒世界、などのように情報共有をして有効活用することが必要になってくるのではないかと考えます」と、さまざまなコミュニティでの積極的な活動は、セキュリティ対策の向上においては有効に機能する、という見解を示した。
〔2〕経営層への意識改革とリスク分性を
対談の最後、渡辺氏の「本コンファレンスの参加の皆様に対して『明日からできること』『明日からやらなければならないこと』などは?」との質問に対して、江口氏は次のような言葉で締めくくった。
「たくさんありますが、あえて挙げるとすれば2つあります。1つは経営層の皆さんへのお願いです。サイバーセキュリティに関する世の中(内外)のインシデント情報などの動向に関心をもっていただきたいということです。また、経営層に情報提供する立場の方々も、経営者が関心をもつような情報を、わかりやすく提供していただきたいのです。もう1つは、現場の方々へのお願いです。ぜひ、自社(システム)の『リスク分析』をしていただきたい。リスク分析をすることによって自社(システム)の弱みを分析でき、それにどう対応するべきかが把握できるようになります。同時に、自社のリスクを共有できていれば、事前にリスク対応することが可能となると思います。これらがキチンとできていれば、経営層に対しても、わかりやすく説明することもできるかと思います。このような取り組みで、ぜひ今後のアクションにつなげてほしいと思います。」
重要インフラとサプライチェーン
2日目の2月17日(木)の基調講演では、米国アイダホ国立研究所 産業制御システム サイバーアナリスト(ICS Cybersecurity Analyst)のサラ・フリーマン(Sarah Freeman)氏が、サプライチェーンセキュリティと重要インフラ保護のトピックについて講演した。
フリーマン氏は、「サプライチェーンの攻撃にはさまざまな種類があり、ハードウェア、ソフトウェア、サービスだけではなく、どのコンポーネントが積極的に狙われているかなど、他にも考慮すべき点があります」と語る。
攻撃者がシステムのどこを狙うかによって、影響を受けるデバイスの数が増えたり減ったりし、システム侵害がどれだけの数のコンポーネントに影響を与えるかという関係性を図で示した(図参照)。
図 システム侵害がどれだけの数のコンポーネントに影響を与えるか
出所 “Critical Infrastructure and Supply Chains: Reimagining Security”, Sarah Freeman (ICS Cybersecurity Analyst), February 2022
その一方で、攻撃者にとって、侵入はいいことばかりでないという。
攻撃者は、侵入後、侵害を受けた被害者が誰なのか(侵害したデータが誰のものなのか)を正確に理解するため、その作業に時間がかかるからだという。「特にサプライチェーン攻撃では防御側が時間を稼ぐことができます」とフリーマン氏。
フリーマン氏によれば、攻撃者がシステムに侵入し、同時に第2段階目の攻撃を行うことはまずないという。そのため、サプライチェーンの攻撃を早期に発見することで、積極的防御を強化する時間的な機会が得られる。
今回の「第6回 重要インフラサイバーセキュリティコンファレンス &第3回 産業サイバーセキュリティコンファレンス」は2日間で25講演、国内外の重要インフラを中心とした産業分野におけるサイバーセキュリティの最新動向を見ることができた。
デジタル、IT(IoT)が私たちの生活や企業活動に浸透している昨今では、あらゆる産業を意識したサイバーセキュリティの動向を常にウォッチしておきたい。
