パナソニック様と考える 加速するIoT利活用とセキュリティ対策の展望

IoTは、少子高齢化や自然災害、環境問題などさまざまな社会問題を解決する手段として近年ますます発展しています。しかし、IoT利活用によってサイバーとフィジカルが融合していく中、新たなサイバーリスクも確実に増加しています。豊かなCPS社会を築くためには、製造業にとどまらず幅広い業界で適切なセキュリティ対策が必要です。

そこで、製造業の中でも先進的な取り組みを進めているパナソニック株式会社様にお話を聞きます。製品セキュリティセンター企画部 部長／製品セキュリティ行政部 部長の松本哲也様をお招きし、ネットワークス カンパニー 第1技術統括部 統括部長代理の鈴木一実とともに、パナソニック様におけるIoTとOTのセキュリティの取り組みに触れながら、IoT利活用や今後の展望について対談しました。本記事では、その模様をご紹介します。司会はネットワークス カンパニー 第2営業統括部第7営業部第1課 課長の釜本潤です。

左からマクニカ釜本、パナソニック松本様、マクニカ鈴木

「Society 5.0」で実現する2030年の社会とIoTの利活用

IoTの利活用やデジタルトランスフォーメーション（DX）といったテクノロジーの進歩により社会、そして、セキュリティはどうなるのでしょうか。まず鈴木は、IoTの利活用が進んだ2030年をあらゆるモノがネットワークにつながった社会になると予想します。そのキーワードが「Society 5.0」です。

Society 5.0がもたらす未来は、「デジタル革命」や「IoT化」といったキーワードに代表されるテクノロジーが人中心の社会を実現し、そこではさまざまな社会課題が解決されていることが期待されます。セキュリティの視点においては、IoTが社会に果たす役割を理解していくことが原点になるでしょう。


IoTは現実の世界をデータ化し、それをサイバー空間上に再現して、再び現実の世界に何かしらのインタラクションをもたらします。それは極めて高い価値であり、残念ながら裏世界で暗躍するサイバーの攻撃者集団にとっても価値あるものと認識されています。昨今の攻撃動向から、攻撃者集団は犯罪のプロとして高い目的意識を持って行動していること分かっています。すなわち私たちもまた、セキュリティの高い意識を伴わなければ、IoTのセキュリティを確保していくことが難しくなる恐れがあります。

2030年を待たずとも、今日あるいは近未来におけるIoTのセキュリティで予想される状況や課題を幾つかご紹介します。

まず2025年に世界でネットワークに接続するデバイスが約750億台に達すると見られています。しかしながら、現在暗号化されていない通信が全体の90％を占めています。企業を狙うサイバー攻撃ではIoTの脆弱性を突かれるケースが既に4割を超えている一方、72％の企業ではIT資産とIoT資産が混在し、管理が不十分であることが分かっています。さらに、IoT機器についてセキュリティ視点の検査を実施しているメーカーは50％に満たない状況です。また、IoTソフトウエアの開発現場では、脆弱性が原因で開発工程に遅れが出るケースが発生しています。

つまり、既にIoTを開発する側にもIoTを利用する側にもさまざまなセキュリティの課題が存在していることが分かります。このような状況のまま、2030年に向けて歩みを進めていくことができるかどうかが、まさにセキュリティの課題なのです。

「事業で活用するIoT」とセキュリティ

CPSによって実現する2030年のセキュリティを考える上で、「事業で活用するIoT」と「社会～暮らしのIoT」の2つの視点で捉えることを提案します。

「事業で活用するIoT」とは、工場の生産ラインにおけるIoT導入や遠隔監視、サプライチェーンのデジタル連携などです。ここでは、多くの企業が取り組んできた既存のセキュリティのスコープでは対応が難しく、どのようなことに留意し取り組むべきかに注意が必要です。もう一方の「社会～暮らしのIoT」でもさまざまなシステムが連携していきますが、企業の枠を超えた地域の広いつながりに至るものであり、誰がセキュリティを高めていくけん引役になるかが極めて重要です。

「事業で活用するIoT」について、モノづくりをするメーカーの現状をパナソニックの松本様は、「さまざまな場所にファイアウォールがあるような状態です」と明かします。同社では、サイバー攻撃を全社リスクにおける現場寄りのリスクと位置付けており、3つの部署の連携で対策を実施しています。具体的には、1つ目の同社の商品やサービスのセキュリティについては製品セキュリティセンター、2つ目の工場の生産ラインのセキュリティについては生産技術部門、そして、社内情報システムのセキュリティについてはIT部門が担当して、全社的なセキュリティを担保しています。

またパナソニック様では、「工業化社会がもたらした供給者中心の社会から、Society 5.0を目指すためにCPSで人間中心の社会を取り戻す」というビジョンを掲げています。モノやコトを提供し、デジタルによって社会課題を解決していくことを目指す上で、セキュリティを守りとしてだけではなく強みにも変えていこうとしていますが、現状のセキュリティの役割や機能をどのように全社的なものへ変革するかも課題です。

こうした中で同社の製品セキュリティセンターは、まず製品やサービスの企画、設計、実装、テスト、出荷、及び、出荷後のライフサイクルの時間軸からプロセスを定め、設計や品質チームと連携してリスクの最小化とインシデント対応に取り組んでいます。一方で、空間軸で見ると、製品やクラウド環境がサービスごとにサイロ化しています。将来のCPSの世界に向けて経済産業省の「サイバーフィジカルセキュリティ管理対策フレームワーク」にのっとり、サプライチェーンの範囲を製造や調達、物流・販売などにも広げるとともに、デジタルな世界のサービスでもセキュリティを担保することにより、事業に貢献したいと松本様は話します。

現場と経営の両軸でセキュリティを変革する必要性、そして製品、生産、ITのセキュリティの連携をどう深めるかについてもお伺いしました。

まず経営の観点では、外部要因として日本を含む世界各地でサイバーセキュリティの規制が強化され、企業として対応しなければ、ビジネスが継続できなくなるリスクに直面しています。同社の場合、メーカーとしての立場に加え、自動車業界などを代表にサプライヤーとしての側面も有することから、セキュリティはビジネスを"守る"必須の取り組みです。しかし、IoTは未成熟であり、IoTのセキュリティはビジネスに優位性をもたらす可能性を秘めており、そのルール形成に参加することも大きな目標だとしています。

「外部要因に対してはさまざまなナレッジの蓄積とインテリジェンスを駆使し、迅速かつ正確に把握と対応を図り、ビジネスを守る部分で今までのサプライチェーンマネジメントの中にセキュリティを組み込んでいく。そして、素晴らしいユーザーエクスペリエンスを提供するために、サイバーセキュリティを強みにしたいのです」（松本様）

なお、社内ではまだまだCPSの言葉の意味が伝わりにくい場合もあり「サプライチェーン」を多用しているとのこと。この表現の方が経営側も理解しやすいといい、メーカーならでは言葉使いや表現という気づきも得られるものでした。

「社会～暮らしのIoT」を支えるSOC

マクニカが提案したもう1つの「社会～暮らしのIoT」でもパナソニック様は、「IoT Threat Intelligenceプラットフォーム」を構築して、既に取り組みを開始しています。ここで松本様から、NISTのCSF（特定・防御・検知・対応・復旧）に照らして2つの取り組みをご紹介いただきました。

1つ目は、「特定・防御」フェーズに該当する日本と台湾に設置されたユニークなハニーポットです。一見すると同社家電製品のショールームのような場所ですが、ネットワークに接続した冷蔵庫やテレビなどの各製品にグローバルIPアドレスが割り振られており、インターネット側から攻撃を受けるようになっています。「メーカーですから、製品が攻撃を受けやすくするといった実験的なこともしながら、脅威インテリジェンスを収集しています」（松本様）

※ハニーポットのイメージ

収集した実際の攻撃データを分析し、通信の発信元、攻撃あるいは探索といった通信の内容、攻撃手法などを解き明かすことで、それらの攻撃データを脅威インテリジェンス化し、最終的に防御に反映させています。ホワイトハッカーチームも在籍しており、彼らと連携したペネトレーション検査項目への反映、さらには製品に組み込む防御モジュールも開発しており、ITセキュリティベンダーとは異なるメーカーならではのユニークなセキュリティの取り組みが見られます。

また、「検知・対応・復旧」のフェーズに該当するものが、IoTのSOCであり、SOCをサービスビジネスとして事業化する構想を明かしました。製品セキュリティセンターがSOCをサービスとして社内事業部門に提供するだけなく、社内事業部門もまたサプライチェーンでつながる先のパートナーにセキュリティサービスを展開可能な構図です。

※SOCのイメージ

例えば、自動車のOEMメーカーに対してサプライヤービジネスを手掛ける事業部門はカーナビなどを販売していますが、OEMからはセキュリティなどのオペレーションについてもパナソニック様による提供への要請があるとのこと。日本国内では、ビルオートメーションのセキュリティとして森ビルや東京建物と共同で実証に取り組んでいるほか、まさにOTである社内の工場に対してはSOCサービスが既に稼働しています。

こうしたパナソニック様の取り組みは、ITセキュリティベンダーとはまた違ったユニークなものであり、松本様はまだまだ未成熟なIoTのセキュリティでメーカーとして特色を発揮していける期待感をあらわにしました。

IoT時代に注目すべきセキュリティのポイント

IoTは文字通り、それ以前は単体で稼働したモノがネットワークに接続して情報をやり取りし、CPSとして社会に新しい価値を創造していくものになります。

今までアクチュエーターを触るだけだったものが、どんどんデータを集めていくようになります。お客さまの同意のもとで行動データを拝見しながら最適なサービスを提供していくわけですが、IoTといえ個人にまつわる情報を伴うようになっていくことは、さまざまな意味でホットではないでしょうか。

マシンが個人に関する情報など機微なデータを扱うようになるとすれば、IoTのセキュリティには技術的な課題だけなくビジネスでの課題も強く色を帯びるものになるでしょう。松本様が同社を取り巻く外部要因として挙げたデータ保護にまつわる各国の規制の動向には、これまで以上に注目する必要が出てくると考えられます。そのためには、IT、システム、情報のそれぞれのセキュリティリソースが連携して有機的に機能する環境や体制の整備も不可欠となってきます。

マクニカは、「事業で活用するIoT」におけるセキュリティ支援はもちろんのこと、
「社会～暮らしのIoT」の中でも、様々な企業と連携し、安全で豊かなCPS社会実現に貢献したいと考えております。