[重要インフラサイバーセキュリティコンファレンス2022レポート]

産業データとセキュリティが融合した未来

― 今、DX推進のためのセキュリティ設計を見直す時! ―
2022/04/11
(月)
インプレスSmartGridニューズレター編集部

現在、製造業などの産業現場でDX(注1)が促進され、例えばシステム運用の効率化や、IIoT(Industrial IoT)などの新規技術との融合などで、現場に埋もれているデータを活用するという未来図が注目されている。一方、OT(Operational Technology)セキュリティの観点からは、多層防御でネットワークセグメンテーションを行って守ってきたICS(注2)の階層モデルが崩れようとしている。
止まることを知らない産業DXとセキュリティが、両立していくには何が必要なのか。ここでは、産業DXを支援するノルウェー・オスロに本社を置くコグナイト(Cognite、表1)アメリカで、セキュリティ担当バイスプレジデントを務めているスーザン・ピーターソン・ストーム(Susan Peterson-Sturm)氏(以下、スーザン氏)の講演と、同氏とIPA 産業サイバーセキュリティセンター 専門委員の青山 友美(あおやま ともみ)氏との対談をレポートする(注3)。DXの推進には「組織・人、業務プロセス、テクノロジー」のうち特に「組織・人、業務プロセス」の要素が大事であること、さらに産業(OT)データを可視化して、生産現場とセキュリティ部門が「共通の理解」をもって、セキュリティアーキテクチャ全体を見直す時が来たと結んでいる。(本文中、敬称略)

表1 コグナイト(Cognite)社のプロフィール(敬称略)

表1 コグナイト(Cognite)社のプロフィール(敬称略)

※1 1ドル110円換算。
※2 ユニコーン企業:企業評価額が10億ドル (約1,100億円)※1以上のスタートアップ企業。同社は2021年の資金調達により評価額16億ドルとなった。
出所 各種資料より編集部が作成

[閉幕特別講演]産業DXとセキュリティの両立には何が必要か

OT企業のセキュリティ対策と現実

〔1〕可視化されていないデータ(資産)

「多くの企業は、OTに関するデータが静的に運用されている(古いデータのまま変更されず活用されている)ということに苦労しています」と、講演の冒頭、スーザン氏は語る。

 そのため、セキュリティオペレーションセンター(SOC)で働く人々やコンプライアンス責任者、技術運用管理者などは、データを見て「現場で今何が起きているか」を、すぐに理解できない。

 さらに、現場の資産(サーバやパソコンのほか、ネットワーク機器や周辺機器)に関する情報一覧や、ソフトウェアのSBOM(エスボム)注4を、リアルタイムで作成できないことで、様々な作業ロスが生じている。

 一方で、セキュリティ運用の経験のない人たち(生産現場の人達や経営者)は、システムや機器の脆弱性が企業に及ぼす影響や、その改善策に対する価値を理解することに苦労しているという。

〔2〕OT企業が抱える課題:一元化されていないデータ仕様

 データを操作するために、適切なフォーマットや関連付けをすることは、資産や時系列データとの不整合によって困難がある。このような問題を解決するために、データの構造化を行い、ワークフローを改善し、アプリケーションや製品をより簡単に、より速く、より効率的に使用できるようにすることが重要だ。

 このとき、「データは使いやすいだけでなく、物理的な世界をデジタルで表現するのに適したものであることが必要で、それを企業全体で活用するには、リアルタイムかつ簡単・安全にアクセスできるようにすることが理想的」だと、スーザン氏は語る(図1参照)。

図1 産業界への働きかけ:大量のデータを簡単に利用可能に

図1 産業界への働きかけ:大量のデータを簡単に利用可能に

出所 Susan Peterson-Sturm, “Inviting OT Security to the Digitalization Leadership Table”(Japan CIP Conference February 2022)をもとに日本語化

図2 セキュリティ部門は、デジタル導入はリスクが高いと見ている

図2 セキュリティ部門は、デジタル導入はリスクが高いと見ている

出所 Susan Peterson-Sturm, “Inviting OT Security to the Digitalization Leadership Table”(Japan CIP Conference February 2022)をもとに日本語化

〔3〕セキュリティ部門は、IoT関連の多くのリスクに気づいている

 セキュリティ部門では、多くの要件や要求に対応していかなければならない。そのため、IoTに関連する多くのリスクに気づいてはいるが、そのリスクの軽減について、事前に他部門(生産現場やOT部門など)と議論をする余裕がない(図2)。

 しかし、スーザン氏は「改善の余地がある」という。そのためには、セキュリティ部門は、運用管理者や技術関係者へのセキュアな開発ライフサイクル注5に向けた正しい研修・教育も含めた、包括的なユーザーストーリー注6を作成し、生産現場やOT部門の目標をサポートしていかなければならないとする。


▼ 注1
DX:Digital Transformation、デジタルトランスフォーメーション。デジタル技術によって企業のビジネスモデルを変革すること。

▼ 注2
ICS:Industrial Control System、産業制御システム

▼ 注3
2022年3月17日(木)に開催された「第6回 重要インフラサイバーセキュリティコンファレンス&第3回 産業サイバーセキュリティコンファレンス」の閉幕特別講演と対談

▼ 注4
SBOM:Software Bill of Materials、ソフトウェア部品表。

▼ 注5
ライフサイクル:製品やサービスなどの検討開始から廃棄までの全過程。

ページ

関連記事
新刊情報
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...
5Gの技術からビジネスまですべてがわかる 5Gは社会や産業に何をもたらすのか? といったビジネス関連のトピックから、その変革はどのようなテクノロジーに支えられているのか?といった技術的な内容まで、わ...