~法規制対応が急務に~デバイスベンダーに求められるIoT/OTデバイスの包括的セキュリティ対策ソリューションを一挙に解説!【JapanSecuritySummit 2023 NECセッションレポート】
IoT/OTの活用が叫ばれる一方で、サイバー攻撃が多発している。自社工場が閉域網だから安全と思われるかもしれないが、USBメモリーや保守用の機器などからの接続もあり、必ずしも安全とは言えないのである。実際に世界では甚大なセキュリティ・インシデントが発生している。日本電気(株) セキュリティ事業統括部 IoT/OTセキュリティグループ ディレクタの桑田雅彦氏が、JapanSecurity Summit 2023において、デバイスベンダーに求められるIoT/OTデバイスの包括的セキュリティ対策ソリューションについて解説をした。
その模様をお伝えする。
多発するIoT/OTデバイスのサイバー攻撃で、対策は喫緊の課題に
総務省の令和5年度の情報通信白書によれば、いま世界で324億個のIoTデバイスが接続され、数年後には440億個を超える勢いであると言われています。情報・ヒト・モノ・コトに繋がりが生まれ、データサイエンスを適用する機会も一挙に増加していくでしょう。今後のIoTの進展により、サービスの高付加価値化や、経営の効率化が可能となるデジタル産業革命の時代に突入していきます。
最近ではローカル5Gの普及により、製造、エネルギー、社会インフラ、物流など、さざまざまな分野でOT(Operational Technology)システムのIoTやDXも進んでおり、企業もIoT/OTを上手く活用していくことが求められる一方で、安全・安心な活用もいっそう重要になっています。しかし残念ながらIoT機器を狙ったサイバー攻撃が多発しているのも事実です。
この2月に発表された情報通信機構のレポートによると、昨年のサイバー攻撃は約5225億回に上り、攻撃トップ10のうち4つがIoTを狙ったものと判明しています。万が一、産業や基幹インフラを支えるIoT/OTシステムがサイバー攻撃で被害を受けると、自社だけでなく、社会への影響も甚大です。とはいえ自社の設備や機器はネットやLANにつながっていない閉域網なので、サイバーセキュリティ対策は不要と考える向きもあるかもしれません。
実は、外部ネットワークに繋がっていなくても、人が関わることで間接的にサイバー攻撃を受けることがあります、たとえば、従業員のUSBメモリーや、機器メーカーのメンテナンス要員が持ち込んだ保守端末がマルウェアに感染して実被害を広げるなどの事例が多発しています。そこで閉域網の環境でも十分にセキュリティ対策を施す必要があるわけです。近年の代表的な脅威として、以下のように原発や電力制御システムなどでインシデントが起きた事例があります。
ほかにもオーストラリアの下水処理施設がリモートで不正操作されて下水が流出したり、米国の鉄道システムがマルウェアに感染して信号が停められたり、監視カメラの脆弱性からトルコの石油パイプラインが爆発されたりと、世界中で甚大な事故が起きています。
IoT/OTのセキュリティ脅威に、欧米や日本で法制化や対応策の動き
IoT/OTのセキュリティ脅威の侵入には、さまざまな経路があります。工場ネットワークにつながるネットワークやアクセスポイントからの攻撃だけでなく、前出のようにUSBメモリー、スマートデバイス、保守用端末を介したマルウェア感染が主なものになります。
さらに従業員におる内部不正や過失も考えられます。ひとたびセIoT/OT機器を乗っ取られると、他環境へDoSを掛けたり、機密データを窃取されたり、不正制御でシステムを誤動作・破壊されたりと、甚大な被害を受けることになります。
このような状況を踏まえ、最近はIoT/OTの世界でも法規制が進みつつあります。重要法規制として、2026年後半に「EUサイバーレジリエンス法案」が発行される予定です。本案は、デジタル要素を持つすべての製品に対し、設計段階から導入、運用に至る多面的なセキュリティ要件が求められます。
脆弱性発見後に24時間以内の報告や、SBOM(Software Bill of Material)の策定、重要なデジタル製品への第三者認証などが必要で、違反時には最高1500万ユーロの罰則金、または年間売上高2.5%の制裁金が課せられます。日本もグルーバルで製品を輸出しているため、いまから法規制に備えておくべきでしょう。
米国では法規制ではありませんが、スマートIoTデバイス(テレビ、冷蔵庫、電子レンジといったスマート家電など)を対象とするサイバーセキュリティの認証ラベリングプログラム「サイバートラストマーク」を政府が採用することを表明しています。すでに大手の製造業や小売業も支持を表明しており、消費者が認証ラベル付き製品を優先的に購入することを期待しています。認証デバイスについては、QRコードを用いて国家登録簿からセキュリティ情報を参照できます。2024年後半からスタートする予定です。
国際的な動向を踏まえ、日本も経済産業省がIoT製品のセキュリティ対策状況を評価・可視化する「IoT製品セキュリティ適合評価制度」を検討中で、来年から施行する方針です。またOTへの重要法律として「経済安全保障推進法」も2024年春を目処に施行される予定です。これによりサプライチェーンの強靭化や、基幹インフラ導入前の事前審査(主にセキュリティ)などが強化されます。このようにサイバーセキュリティに対する法規制が急務になっているのです。
企業におけるIoT/OTセキュリティの確保とデバイスベンダーの責務
では今後、企業は具体的にどのようにIoT/OTセキュリティを確保していけばよいのでしょうか? 産業制御システムや産業機器において重視される価値として、BC(Business Continuity)/SQDC(Safety、Quality、Delivery Time、Cost)の視点を中心にセキュリティ対策を考えていく必要があります。
これらBC/SQDCを阻害する要因を極小化することが大切です。そこでIoT/OTの世界では、従来の情報セキュリティの基本3要素「CIA」(C:Confidentiality、I:Integirity、A:Availability)に加え、Control(制御)とSafety(安全性)でモノのセキュリティの優先度を高くします。具体的なIoT/OTのセキュリティ対策は幅広いものになるため、設備稼働管理、監視カメラ、自動車、医療・ヘルスケアなど、要件に応じた対策が求められます。
前出のEUサイバーレジリエンス法案では、機能面の要件(アクセス制御、暗号化、改ざん対策、プログラム更新など)や、脆弱性に関わる運用面の要件(機械読み取りが可能な系形式でのSBOM作成、セキュリティパッチや後進プログラムのスムーズな配布)など、多面的な配慮が必要とされています。
このような対策は、物理面・ネットワーク面・デバイス面で多層的な防御が重要になり、全体の管理・運用を統合的に管理することも大切です。とはいえ、これらのうち特にデバイス面での対策は、システムやサービス提供ベンダーが実装することが難しいため、デバイスベンダーで実装しなければなりません。
多層的かつ包括的なNECのIoT/OTシステム向けセキュリティ対策ソリューション
前出のように、IoT/OTに対するセキュリティ対策は、従来のICT向けの対策だけでは不十分です。IoT/OTシステムの特性やセキュリティ課題に対する対策を考えなければならないためです。主な例について、下記のような対策例を示します。
ハードウェアのリソース制約、デバイス間の接続方式の相違、可用性の観点からパッチが当てられない状況、分散配置された管理運用の仕組みなど、考慮すべきことがたくさんあります。実はNECでは、こういったIoT/OTシステム向けのセキュリティ対策ソリューションを多数用意しています。以下、当社のソリューションの全体像を示します。
デバイス単体では、リソースの制約から約3KBのメモリーで使える軽量プログラム改ざん検知(マルウェア対策)や、軽量暗号/認証暗号を提供中です。またデバイスに直接対策を施せない場合は、エッジ系でゲートウェイでのデバイス接続/通信アクセス制御/異常検知を行っています。もしデバイスが分散配置されて管理が難しいときは、中央からリモートでデバイスIDや鍵の管理が可能です。さらにデバイスの製造段階から破棄に至るライフサイクル全体におけるモノの真正性を管理する仕組みも提供しています。
このようにNECならば、お客様の課題とリスクに応じた最適な対策を組み合わせ、多層的かつ包括的な対策(https://jpn.nec.com/iot/platform/security/)が行えます。またソリューションの提供のみならず、セキュリティ・スペシャリストが、コンサルティングからセキュアシステムの導入、運用までライフサイクル全体で支援します。
スマートホーム/住宅設備機器や、遠隔監視・制御システムのデータ保護、不正接続防止対策、スマート工場向けセンサデータ収集機器のマルウェア対策など、さまざまな実績と事例があるため、ぜひNECにご相談いただければ幸いです。
