イベントレポート

＜DATA CAMP 2019＞
産業分野におけるサイバーセキュリティ政策
～ホワイトハッカーがつくる信頼性のアップデート～

攻撃パターンは縦にも横にも高度化

奥家氏:初めに、サイバーセキュリティに関して、最近の攻撃パターンを紹介します。攻撃パターンは「攻撃起点が横に広がり」「縦に深く打ち込む」ようになっています。

「攻撃起点の横への広がり」としては、コンピューターメーカーの正規アップデートのサーバーにマルウェアが仕込まれていた例が挙げられます。きちんと管理されている端末であっても、正式なアップデートを行うサーバー側がマルウェアに感染してしまっていると、アップデートを通じて、実は攻撃を受けている、という可能性があるのです。

他にも、オープンソースが読み込むライブラリが改変されていて、そのソースを読み込んだときにマルウェアに感染してしまうケースもありました。その改変は一定期間が過ぎると元の正常な状態に戻されてしまったため、後に検証しようとしてもサプライチェーンのどこで攻撃されたのか把握が難しいということになります。

「縦に深く打ち込む」としては、例えば、制御系システムまで影響を受けるようなケースです。2016年に起こったウクライナでの停電が有名です。検体解析の結果によると、IT系のネットワークから侵入して制御システムに達し、送電停止命令をかけたのではないか、という見方があります。攻撃者は、攻略に時間がかかる制御・運用技術のような特殊な環境でさえ突破してくる実態が明らかになってきています。

そうした中、世界最大級のサイバーセキュリティ国際会議であるBlack Hat USA 2019ではIoTの分野がかなり注目されていたようです。特に話題となったのは、セキュリティベンダーが航空機の制御・運用系に侵入したという検証結果です。このような報告が今後も増えていくことは間違いありません。

サイバーセキュリティの環境整備や中小企業のサポートに注力

奥家氏:こうした状況を踏まえ、サイバーセキュリティの重要性を訴えるべく、経済産業省では2017年に産業サイバーセキュリティ研究会を立ち上げました。更に、この研究会の下にサプライチェーン対策や人材育成、サイバー経営など、セキュリティビジネスを整備するための3つのワーキンググループも展開しています。

コアとなっている取り組みの一つは「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」です。例えば、工場の現場では既にIoT化が進んでいて、サイバーとフィジカルが一体化してきています。ここでフィジカルの情報を、IoTを通じてデジタルのデータに加工される過程をどのように守るのでしょうか。オーナーさん、ベンダーさんやメンテナンス事業者さんなど、複数のステークホルダー全員が共通のポリシーに基づいて取り組みを行う必要があります。こうした、サイバー空間とデジタル空間が高度に融合していくことで生じる新たなリスクの洗い出しを行ったものがCPSFです。

このCPSFをベースにして、米国や欧州と国際的にもセキュリティ要件に関する議論を進めています。さらに、CPSFをベースに、産業分野別のガイドライン策定の取り組みも進んでいます。この他、データマネジメントや、IoTセキュリティ、ソフトウェア・マネジメントに関する議論も開始しました。

また、経済産業省では中小企業のサイバーセキュリティ対応を支援する体制の整備も進めています。具体的には、サイバーセキュリティお助け隊と称して企業にUTM(Unified Threat Management)を置いてモニタリングするなどのサービスを展開し、それを将来簡易保険と組み合わせた取り組みにつなげていきたいと考えています。

これらの取り組みとともに、セキュリティビジネスの基盤の構築を目指す取り組みを進めています。特に力を入れているのは海外との交流です。日本のペンテスターはデバッグ能力の高さなどで世界的に高く評価されており、その能力を広くアピールしていきたいと考えています。

これから皆さんの事業は、製品やサービスを適切に検証しなければ付加価値として受け入れられない時代になるでしょう。どんな検証を行うのか。どんなパートナーと組むのか。皆さんとともにサイバーセキュリティの取り組みをしっかりと進めていきたいと思っています。

※株式会社イエラエセキュリティ伊藤章博氏の登壇内容については非掲載とさせていただきます。

【参考】