産業DXに必要な「セキュリティ変革」 ～サイバーフィジカル社会実現に向けた最初の一歩～

実世界とサイバー空間が相互連携したサイバーフィジカル社会（CPS/IoT社会）。
スマートフォン等の身近な機器だけでなく、工場や医療設備等のあらゆる機器がインターネットに繋がります。そして、これらから収集されたデータを活用することで、社会課題解決や産業の活性化を目指すものです。しかし、これは同時に新たなサイバー攻撃リスク増加も意味します。IoT機器などを踏み台とした機密情報の窃取、工場や社会インフラの停止など・・・豊かな社会実現の為には、これらへの対策が不可欠です。
本記事では、新たな社会における「技術」と「サイバーリスク」の変化、そして企業が取り組むべきことを具体的にお話します。

産業DXによるリスクの可能性

サイバー攻撃による情報漏洩やシステム停止といったリスクは既に周知の事実ですが、DXが進むことでOTの領域にもリスクへの懸念は広がっています。特にITと違うOTのサイバーリスクは、目に見える形で被害が発生することが大きな違いです。将来的には、サイバー攻撃によって直接人命が奪われるといった現実が起こる可能性もあります。
人やモノ、そしてそれらを取り巻くサプライチェーンが複雑につながる産業DXによって得るものは大きいですが、セキュリティがおろそかになってそれが破られたときに失うものは、それ以上に大きくなる可能性があります。そのきっかけとなるのは、ネットワークにつながって管理されている、工場内で無数に使われている小さなモーターかもしれません。仮に、小さなモーターが攻撃を受けた際に回転数を書き換えられてしまい、過負荷な状態にされてしまうと、発火する危険性もあります。だからこそ、DXを生かすことで広がるビジネス拡大と、その裏に潜む脅威と対策をしっかりと認識いただく必要があります。

CPS社会における「技術」と「サイバーリスク」の変化

自社のオフィスや工場を改革していくことで事業効率や生産性向上を目指すDXですが、コロナ禍においては、社員の健康管理なども事業継続や生産性向上に向けて必要な要素です。また、自社を取り巻くサプライチェーン全体においても、業界横断的に消費者とつながっていく部分でDXに取り組むケースも増えています。そして最終的にはサイバーとフィジカルが密接につながっていくCPS（Cyber-Physical System）によって、社会全体の生産性工場や効率化を成し遂げ、最終的にDXが完了していくことになります。

全てがつながっていくCPS社会では、当然サイバーリスクも拡大していくことになります。サイバー空間とフィジカル空間がつながっていくCPSでは、当然ながら攻撃者から見ればサイバー空間上に攻撃できる起点が増えることになり、防御する対象も広がっていくことになります。これまではITだけを見ておけばよかったものが、OTの世界も含めて注視する必要があるのです。特に忘れてはいけないのがIoTです。IoTデバイスの製造段階で脆弱性が見過ごされ、客先へ設置した後にサイバー攻撃にあって被害を発生させてしまうなど、メーカーとしても大きなリスクにある可能性を認識する必要があります。もちろん、自社で仕入れたOT内で利用するIoTデバイスなどについても、サイバー攻撃のリスクにさらされることになるため、注意が必要です。

では、産業DXにおけるリスクについて、企業はどのように見ているのでしょうか。2020年の売上ベースでトップ20社の公開情報からDXの取り組みとリスク認識に関して調査してみると、DX投資によるビジネスの拡大を自社で記載している企業が15社あり、IoT化を含めた自社のシステム整備やサプライチェーンの高度化、そして社会との接続といったキーワードが公開情報からも見えており、DXに関する投資は非常に盛り上がっています。一方で、多くの企業がITに対するサイバー攻撃リスクは記載しているものの、事業リスクとして意識している企業は4社ほどです。つまり、サイバー攻撃がビジネス面に影響を及ぼすととらえている企業はまだ少ないものの、すでに経営リスクとしてとらえている企業も出てきており、今後ITのリスクがビジネス領域にも広がってくるのは間違いありません。

脅威の急速な広がりと求められる対処

では、実際にどんな脅威が広がってきているのでしょうか。すでに海外では社会インフラや向上を狙った事件が大きく報道されており、2021年2月に発生した米水道施設へのサイバー攻撃をはじめ、5月に発生した米石油パイプラインや世界大手食肉加工会社へのサイバー攻撃などが記憶に新しいところです。一方、国内では事件・事故を目にする機会が少ないのが現状ですが、IDCのレポートによるとIIoT／OTシステムにおいて約3割の会社においてインシデント発生や危ない状況を経験したということが結果から明らかになっています。IIoT／OTシステムに対するセキュリティ投資の割合は、実際に予算の10％未満だと回答している企業が6割以上となっており、まだ十分とは言えません。

そんな状況下で、具体的にはどんな対策が必要になるのでしょうか。工場内に閉じた環境だった従来は、人を介した情報伝達がその中心でしたが、DXが進むことでIoTによってさまざまなものがつながり、場合によっては得られた情報をクラウド上に蓄積し、AIを使って解析していくこともあります。生産性向上や自動化、品質保全、予知保全といった目的でデータ活用が進んでいくでしょう。その結果、これまでサイバーセキュリティの範囲にあたらなかったものが、一気に全体的にサイバーセキュリティの範囲に変わっていくことになるわけです。

その結果、例えば事務所内の野良PCがマルウェアに感染してしまうと、生産系のネットワークにも広がっていく可能性が考えられます。また、マルウェアだけでなく、ランサムウェアなどによってシステムを止められてしまうと工場を止めざるを得ないケースも出てくる可能性もあるはずです。現状ではどの端末に何が起きているのか、影響範囲が分からず、復旧させるにも多くの時間を要してしまうはずで、最終的に工場を動かすときにも、そのまま稼働させていいのかの判断も難しいです。その意味でも、攻撃を受けている、侵入されている、被害が拡大しているといったことに気づける仕組みが必要です。

そんな状況が可視化できる仕組みを導入しておけば、事務所PCへの感染時点で気づくことができ、マルウェアがネットワーク内に侵入しても通常の工場内の通信の状況を把握しておくことで異常な通信が発生していることが検知できる可能性が高まります。その結果、工場停止に至るインシデントにも対処できるようになるわけです。つまり、状況を常に把握しておくことで、復旧までのカーブをより早くしていくことが可能です。工場においてDX化を進めるためには、工場内でどういうことが起こっているのかを見つけていく仕組みが必要なのです。

特にIoTデバイスについては、その危険性も指摘されています。2025年には750億台のIoTデバイスがインターネットに接続してくるなど、さまざまな領域でIoTが広がってくることが予測されていますが、現時点で出回っているIoTデバイスが行う通信の9割ほどが暗号化されていません。また、企業への攻撃に占めるIoTの脆弱性を悪用したものは41％を超えてきており、攻撃者はITだけでなくIoTを利用して内部に侵入しようとしている実態もあります。同一LANにIT資産とIoT資産が混在している企業も多いなか、セキュリティ検査を実施しているIoT機器ベンダ―も現状では多いとは言えず、脆弱なコードが原因となったIoTソフト開発の遅延を経験した企業も75％に及んでいます。

こんな状況からも、自社で開発しているものだけでなく、工場内で使われているデバイスもセキュアであることが求められるのです。攻撃者は何らかの目的をもって攻撃してきます。ただし、IT側のサイバーリスクへの対策でも経験したとおり、簡単な対策だけですぐに回避できるわけではありません。これはIoTでも同様なのです。

IoTが狙われる背景には、IT側のセキュリティレベルが向上していることも大きな要素の1つです。また、現状で回っているIoTデバイスがインターネット接続前提のセキュリティ設計が行われていない、常時監視されていないために感染に気付きづらい、出荷済み機器への対策が難しいといったデバイス側の観点においても課題があります。実際にSHODANと呼ばれる仕組みを使ってデバイスを検索すると、インターネットにつながっているWebカメラやルーター、サーバーを発見できるため、これがデフォルトのパスワードのままになっていると攻撃者に狙われてしまうことも十分考えられます。総務省でも2019年2月以降に注意喚起が行われており、2021年4月時点でも累積で16900件を超えているなど、脆弱な状態で晒されているデバイスが多いのが現実です。だからこそ、従来のIT領域にとどまらず、OT、IoT、そしてそれらをつなぐクラウドも含めた全方位でのセキュリティ対策が必要になるのです。

マクニカの提案するセキュリティ全体像

そんな現実的なリスクに対処すべく、マクニカネットワークスでは、IT、OTおよびクラウドの3つの領域でさまざまなソリューションを取り揃えています。

OTに関しては、工場内におけるセキュア生産やプラントを守っていくようなソリューション、そして開発されるデバイスや出荷されていくデバイスに対するセキュリティを担保していくセキュア開発に関するソリューション、そしてそれらをつないでいくクラウドのセキュリティを確保するためのセキュアサービスやサービスプラットフォームを用意しています。また、工場において重要になる、現状起きていることを気づくためのソリューションを4つほど提供しています。

そしてデバイスについては、OSやアプリケーション、内部コードをよりセキュアにしていく各種ソリューション、そしてクラウドに関しては、クラウドに入ってくるデータや不正なアクセスを止めていく各種クラウドセキュリティソリューション、そしてクラウド内のデータを保護するソリューションなどを提供しています。データを活用することで新たなサービスを提供する際に、プライバシーを保護していくような分析を可能にしていくような製品も今後は必要になるため、新たなソリューションも拡充していきます。

ITだけでなくOT、IoTそしてクラウドを含めた全方位でのセキュリティ実装について、是非お気軽にお問合せください。