1. HOME
  2. ブログ
  3. 産業や重要インフラを支えるIoT/OTデバイスベンダーが問われる責務IoT/OTデバイスに必須のセキュリティ対策導入を加速させるためには?

産業や重要インフラを支えるIoT/OTデバイスベンダーが問われる責務
IoT/OTデバイスに必須のセキュリティ対策導入を加速させるためには?

多様化・巧妙化するサイバー攻撃はIoT機器にシフトしつつある

IoTの進展は、我々の社会にどのような意味をもたらすのだろうか? IoTの急速な普及によって、あらゆる情報・ヒト・モノ・コトにつながりが生まれ、データサイエンスを適用する機会が一挙に増えている。総務省によれば、IoTデバイスの数は現時点253億個で、数年後には341億個までつながると予測されている。

これによって、サービスの高付加価値化が図れ、経営の効率化が可能となるデジタル産業革命の時代が到来しようとしている。現在、超高速・超低遅延・多数同時接続という5Gの通信技術によってIoTが加速しているが、さらに産業界では自営通信網としてのローカル5GがOTシステムにおいて使われ始めている。

ところが、このIoT/OTは安全・安心して活用できるのかというと、残念ながらYESとは言えない状況だ。NICT(情報通信研究機構)の「NICTER観測レポート2021」によると、IoT機器を狙ったサイバー攻撃の活動が増加・多様化していることが分かる。

昨年だけでも約5100億回を超える攻撃の通信パケットが観測されており、その攻撃もこれまで以上にIoT機器を狙ったものになり、上位10種の攻撃のうち4種がIoTがらみとなっている。その内訳をみると、特定機器で動作するサービスや、その脆弱性を狙った攻撃へとシフトがみられる。その原因は、従来のICTの世界より IoTの世界はセキュリティが甘く、攻撃者には格好のターゲットだからである。

IoT/OTシステムの脆弱性を突いた攻撃と、重大インシデントの事例

とはいえ、自社の設備や機器はインターネットやLANに接続されていない閉じられた世界にあるので、サイバーセキュリティ対策は特に心配ないと思われるかもしれない。しかし、物理的に外部ネットワークにつながっていない機器であっても安心できない。というのも、ヒトが介在することで間接的に機器につながり、サイバー攻撃を受けるリスクがあるからである。 たとえば従業員や保守員などが機器を設定する際に、USBメモリにつなげて環境設定などを行うことがあるかもしれない。万が一、そのUSBメモリがマルウェアに感染していたら、工場やビル、店舗などの内部ネットワーク機器に一気に感染が広がってしまうだろう。実際にIoT/OTに関わる代表的なセキュリティ・インシデントには、以下のようなものがある。

これらは、IoT/OTシステムならではの脆弱性を突き、マルウェアを感染させて、不正制御や機器を踏み台にした大規模DDoS攻撃(サービス妨害)を仕掛けてきた事例で、実社会に非常に影響度の大きい被害を発生させたものばかり。特に、StuxnetやBlackEnergyといったマルウェアは、海外で原子力発電所の制御システムや電力制御システムに被害を与え、一歩間違えれば大惨事になっていた可能性もある。

日本で大きな騒ぎになったのは、マルウェアのMirai。ルータやWebカメラなどのネットワーク/IoTデバイスは、たいてい管理者用の初期設定では、ID/パスワードがAdminのような想像しやすいものになっている。そこで攻撃者は初期設定のままの機器を見つけて侵入し、大量の機器を乗っ取って、その機器を大規模DDoS攻撃の踏み台にすることで、ネットワークやクラウドのサービスを何時間も麻痺させる攻撃を仕掛けた。

IoT/OT機器の攻撃は段階的に突破される。たとえ最初は小さな火であっても、実社会の基盤をなす環境へ広範かつ多大な影響を及ぼす大火になってしまうことがある。実際に制御システムに対するサイバー攻撃で、社会的に大きな被害を受けた事例は後を絶たない。

2001年にはオーストラリアの下水処理施設が、外部からリモートアクセス経由で不正操作され、下水が流出して海洋系に多大な被害が出た。2003年には米国大手鉄道貨物会社の情報システムがマルウェア(sobig)に感染し、信号システムが停止して、復旧に6時間もかかった。2008年にはトルコで石油パイプラインが爆破された。監視カメラの通信ソフトの脆弱性を突かれ、内部の制御システムに侵入。その後、管内の圧力を高めて爆発を引き起こした。

従来のICT向け対策は通じない! IoT/OTシステムを守るポイントとは?

では、こういったインシデントを未然に防ぐには、IoT/OTにおいてどんな要素が重要になるのだろう? これを考えるうえでは、産業制御システム/機器において重視される価値を理解する必要がある。それはBC(事業/生産継続)、SQDC(安全確保、品質確報、納期遵守・遅延防止、コスト低減)の視点だ。サイバー攻撃は、これらの要素を阻害しようとするため、その阻害要因を極小化するセキュリティ確保が重要になる。

さらにIoT/OTでは、ICTで要求されるCIA(C:Confidentiality/I:Integrity/A:Availability)、すなわち機密性・完全性・可用性に加え、Safty(安全性)とControl(制御)の要求度が高い点も特徴といえるだろう。 セキュリティ対策が必要なIoT/OTの具体的なユースケースには、工場、ビル、店舗などの設備稼働管理や、監視カメラ、自動車、医療・ヘスケアなど幅広い分野があり、それぞれ守るべきものの要件に応じたセキュリティ対策が求められる。

次に、IoT/OTのセキュリティ対策を、誰がどのように施すかという点もポイントになる。物理面やネットワーク面の対策に関してはシステム/サービス提供ベンダーが対策を講じられる部分になるが、IoT/OTデバイス自体についてはデバイスベンダーしか対策を打てないため、彼らがその責務を果たす必要があるだろう。 そのうえで、IoT/OTデバイス自体のセキュリティ対策は、従来のようなICT向けの対策を適用することが難しいという点も認識しておきたい。IoT/OT特有のセキュリティ課題について以下に示す。

たとえば、エッジ/デバイスでは、ハードウェアのリソース制限がある。CPUも安価で性能が低く、メモリも数10kbのような小さなケースもある。そうなると、一般的なICTで動くセキュリティソリューションは使えないため、軽量・低負荷な実装が必要になる。

また、IoTデバイスは可用性やリアルタイム性能も重要なため、負荷のかかるマルウェア対策では難しい。モノの世界の多様な動作環境や接続方式に対応する必要もある。安定・連続稼働も重視され、セキュリティパッチも更新しづらいので、前段のセキュリティ対策が求められる。 エッジ/デバイスでは、各所に分散配置されるのが基本だ。現場でのセキュリティ管理ができないため、リモートからのセキュア化に対応し、しかも省力化・自動化もしたいところだ。ひとたび攻撃者に狙われたとしても、すぐに脅威を検知し、影響を極小化することが肝要である。

NECでしか提供できない独自のIoT/OTセキュリティ対策ソリューション群

さて、NECでは、このようなIoT/OTの独自の特性や制約を考慮したIoTセキュリティ対策ソリューションをカバーしている。以下に全体像を紹介する。

たとえば、低性能なデバイスでも不正動作を防ぎ、データを保護する「軽量プログラム改ざん検知」(マルウェア対策)、「軽量暗号開発キット」を用意している。

軽量プログラム改ざん検知は、約3kbという極小メモリで動き、センサや組込み機器にも搭載が可能だ。72MHz・CPUで1kbメモリ領域を約2m秒とリアルタイムで検査し、被害の拡大を防げる。軽量暗号開発キットもNEC独自の軽量暗号・認証暗号技術で、6kb・ROMと0.4kb・ROMで高速に暗号/復号処理が可能だ。暗号化だけでなく、改ざん検知機能によりデータの正当性も保証する。軽量暗号を後付けし、アプリの改修が不要なオプションも提供している。

暗号は鍵の管理が特に重要になる。もしデバイスに設定された暗号鍵や電子証明書を盗まれると、すぐに現場では対処できないので、中央からリモートで発行・配布・更新し、有効無効を集中管理できる「SecureWare/Credential Lifecycle Manager」も役に立つ。

あるいは、デバイス自体にセキュリティ対策を組み込めない場合は、その前段のゲートウェア側に対策を施すとよい。不正な接続や通信からデバイスを守る、ホワイトリスト方式のアクセス制御・異常検知製品「IoT Device Security Manager」を用意している。USBやBLEなどのデバイスにも対応できる。またデバイスの製造段階から廃棄に至るライフサイクル全体にわたり、デバイスの真正性を確保する「IoT System Security Lifecycle Services」といったサービスも提供。

ほかにもNECは、さまざまなセキュリティベンダーとパートナーシップを結んでおり、IT/IoT/OTセキュリティ対策を多層的かつ包括的にカバーしている。たとえ1つの段階で突破されても、次の段階で突破されないような防御が求められるからである。

NECでは、セキュリティのスペシャリストチームが、経営視点でのコンサルティングから、セキュアシステムの導入・運用までを支援しているので、どんな対策から始めればよいのか分からない場合は、ぜひお声がけいただければ幸いである。

関連記事

人気コーナー「サイバーセキュリティー四方山話」が電子書籍で登場!!