横行するサイバー攻撃からインフラを守るために

2017年5月、WannaCryというマルウェア（不正なプログラム）によるシステム利用停止が世界各地で同時多発的に発生した。トップニュースとして報道されたとおり、多くの国で通信、医療、鉄道事業者に感染が広がり、オフィスのパソコンのほか、屋内外の電光掲示板が使えなくなった。日系企業でも感染が確認され、自動車などグローバルに事業展開する製造業では生産ラインの停止などの損害を被る例が発生した。

WannaCryは感染したシステムを利用停止にして身代金を要求するランサムウェアというマルウェアであるが、自己増殖しネットワークを通じて拡散するワーム型と呼ばれる機能も有していた。それが爆発的な感染となった要因である。WannaCry以外にも、2010年6月にはイランの核燃料施設を標的にしたといわれるStuxnetや、2015年12月の停電にサイバー攻撃が起因していたとウクライナ政府が発表したケースなど、インフラ設備へのサイバー攻撃の事例は多く発生している（表1）。

社会インフラはICT（情報通信技術）に深く依存し、ネットワークでつながる利便性の反面には重大なセキュリティの脅威が潜む。これまで日本は他国に比べて被害が小さかった印象がある。サイバー攻撃は軍事的理由によるものが多く、日本がその攻撃対象の中心ではなかったことに加えて、ネットワークが狭い範囲で閉じていることが、結果的に功を奏したと考えられる。しかし、過去には、日本の幹線交通網で原因不明のシステムダウンが発生し、サイバー攻撃が要因として疑われた例もある。大規模な被害にこそなっていないが、いつ国内の重要インフラがサイバー攻撃を受けて、都市や国家の機能が麻痺してもおかしくないとみるべきである。

今後はさらに、あらゆるモノにセンサーや通信機能を備えるIoT（モノのインターネット）が普及し、ネットワークに接続される機器数が爆発的に増加する。シスコシステムズ社の調査では、2013年時点で100億個であった接続数が、2020年までに500億個になると予測されている。IoT機器は小型・省力型であるためセキュリティ対策機能を搭載しにくい。その上、機器が無数に上るため人手で管理することが困難である。加えて利用期間は数年間に及び、機器交換のタイミングでは対策が後手に回る。こうしたことから、パソコンやサーバなど従来型のICT機器と同様の方法を適用することは難しく、対策は容易ではない。

2015年に開催されたセキュリティカンファレンスBlack Hat USA 2015では、ある自動車のシステムに対するハッキング（不正侵入）手法が公開され、それを受けて140万台がリコールの対象となった。医療機器でも、近年ネットワークに接続する機器の脆弱性情報が増えている。いずれも、製品が市場に出てからソフトウェアの脆弱性が発見されている事象である。2016年10月には、Miraiというマルウェアに感染した無数のIoT機器が、一斉に膨大なデータ通信を発生させ、多くのネットワークやウェブサイトに障害を発生させている。

社会インフラにおけるICTへの依存度は今後も高まり、IoT機器や制御システムの利用機会や利用範囲がさらに拡大する。結果、社会インフラが攻撃を受ける接点は格段に増加し、インフラを介した社会被害の広がる範囲とスピードは一気に増大する。サイバー攻撃の脅威とリスクは高まり、社会インフラに対するサイバーセキュリティの確保は重大かつ差し迫った社会的な要請となっている。

わが国では、2015年9月に閣議決定されたサイバーセキュリティ戦略のもとで、重要インフラのセキュリティに加え、安全なIoTシステムを確保することを目標として、IoTシステムのセキュリティに係る制度整備・技術研究開発・人材育成などが進められている。例えば、総務省および経済産業省などでは、IoT推進コンソーシアムを通じて、IoTセキュリティガイドラインを策定し普及に努めている。重要インフラを支える制御システムについては、2012年に技術研究組合制御システムセキュリティセンター（CSSC）が設立され、当社も参加して、電力をはじめとする社会インフラや産業機器のセキュリティに関する研究開発が実施されている。電力分野では制御システムのセキュリティを確保する要件が技術基準省令に含まれるようになった。

折しも2020年、モノとICTが融合したシステムのセキュリティが問われるオリンピック・パラリンピックがある。前述の閣議決定でも大会の開催と運営を支えるインフラのサイバーセキュリティを確保することの重要性が謳われている。これに基づき、内閣サイバーセキュリティセンターを中心に、組織委員会、開催都市である東京都、電力事業者、鉄道事業者などを交えながら、体制構築や演習・訓練の取り組みが進められている。オリンピックで得られた知見をレガシーとして、全国に展開していくことが望まれる。

政府や業界によるモノとICTが融合したシステムに対するサイバーセキュリティ対策が推進される一方、重要インフラの管理主体や製造業にも対応が求められる。多様な主体と連携し継続して事業活動を推進しなければならないため、インフラなどの制御システムに対するきめ細かい分析と対策が必要だ（表2）。

インフラなどの制御システムへの攻撃の経路は多岐にわたる。注意を要するのは、プラントや製造設備が直接インターネットに接続していなければ安全とは限らないことだ。USBなどの記憶媒体を介して制御システムのネットワークに侵入する手法も多発している。

リスクを正しく認識するためには、攻撃の糸口やアクセス経路、考えられる攻撃手法だけでなく、インフラや設備の個別システム、ネットワーク構成、運用方法など、被害を受けるシステムの全体像を把握した上で、セキュリティリスクを評価する必要がある。これを脅威分析と呼ぶ。

ポイントは、セキュリティとインフラの両分野の専門家の連携である。セキュリティの専門家は、システムの機能障害がどの程度甚大な事象（人命に関わるなど）を引き起こすかまでは想定できない。一方、インフラの専門家は、セキュリティがどこから何によって破られるかについて十分な知識がない。脅威分析では、セキュリティとインフラの専門家がタッグを組み、さまざまなサイバー攻撃による被害可能性と影響範囲・規模を想定し、対策の投資規模、優先順位などを検討することが重要となる。

制御系など影響範囲の広いシステムでは、開発の早い段階からセキュリティに配慮した設計（Secure by Design）思想をもって取り込むことが必要である。

一般的なITのセキュリティ対策は、城郭が内堀や外堀を張り巡らせて天守閣を守るように、ネットワークを分割・隔離して最も重要な情報を守るという考え方がある。ところが、従来からの制御システムはセキュリティの脅威がさほど強く認識されず、利便性とコストを重視した障壁の少ないフラットな構造が志向されがちであった。システムの詳細設計や仕様検討が進んだ後からセキュリティ対策を検討すると、対策の選択肢が制限され、費用対効果が悪くなるなどの問題が発生する。

また、制御システムは、パソコンやサーバーといった一般的なIT（Information Technology）とは異なる技術（ITと区別してOT＝Operational Technology＝という）も用いられており、システムの使用環境や求められる機能に特殊性がある。このため、ITの セキュリティ対策製品が適用できない場合もあり、IT以外の対策や運用方法の工夫によるリスク低減を図ることも重要である。

どの企業でも課題となるのが、制御システムセキュリティへの取り組みを社内に浸透し定着化させるマネジメントの進め方である。制御システムのセキュリティが重大リスクと認識されても、IT部門と事業部門で責任や所掌の押し付け合いとなることが多い。インフラや設備の仕組みとセキュリティの双方を理解して横断的にリーダシップを発揮できる人材は極めて稀であるが、高い視点から両部門を統括できる人材を採用し、育成を続けることが安全確保の鍵となろう。

当社には、セキュリティ分野、各種インフラおよび安全分野で豊富な知見と実績がある。これを活かし、セキュリティ対策の技術的な検討、マネジメントプロセス、マネジメント態勢などのソリューションを提示し、拡大するサイバー攻撃に対するインフラ・企業の安全確保を積極的に支援していく。