今、ITの新しい適用分野としてIoT(Internet of Things )が注目されています。「モノのインターネット」であるIoTの普及は、あらゆる産業のビジネスモデルを大きく変化させる可能性を秘めています。しかし、同時に大きな課題も浮上しています。それがIoTにおけるセキュリティです。東芝ではIoT時代の新たなセキュリティの課題を的確に把握し、インダストリアルICTセキュリティセンターの開設など、IoT時代に対応したさまざまな取り組みを行っています。
新たなビジネスモデルの推進エンジンとして期待されるIoTですが、それを適用するための課題や阻害要因も指摘されています。その上位に挙げられているのがセキュリティへの懸念です。
制御システムのセキュリティインシデント情報を収集している米国のICS-CERTによると、2014年9月から2015年2月の約半年間に起きた事故は245件あり、エネルギーや製造、医療、通信など、重要な社会インフラが主なターゲットとされています。その攻撃方法は、外部と通信を行うポートをスキャンして見つけた弱点を突いた攻撃、特定の組織を狙った標的型攻撃など、情報システムへの攻撃と共通しています。しかし、制御システムへの攻撃はより直接的な被害を招きかねません。
実際、2014年にはドイツの製鉄所の生産設備がサイバー攻撃で破壊されるという事態が起きました。攻撃者は標的型攻撃によって、製鉄所のシステムの認証情報を入手。溶鉱炉を制御するシステムにアクセスして操業を妨害し、溶鉱炉が爆発しました。日本でも、2011年に半導体工場の品質検査装置がマルウェアに感染して不良品の判定が行えなくなり、最終的に生産ラインを停止する事態が起きています。
これら制御システムの脆弱性(ぜいじゃくせい)を狙った攻撃は、人の生命や環境へのダメージにつながる深刻なものになる可能性があるだけに、IoTのセキュリティが問題視されるのは当然です。2011年には医療機器の分野で使われているインスリンを送り込むポンプの制御機能に脆弱性があることが指摘され、2012年には工場や電力、化学などの重要なインフラで使用されている複数のメーカーの制御機器に脆弱性があることが明らかになりました。また、2015年には、自動車の車内システムに脆弱性が見つかり、自動車が遠隔操作される危険性が報告されたこともあります。
具体的にセキュリティ対策を考える上で重要になるのが、情報システムと制御システムのセキュリティの根本的な要求事項の違いです(図1)。
例えば、セキュリティの優先順位付けでは、情報システムでは機密性が一番ですが、制御システムでは可用性が優先されます。生命に関わる重要なインフラなどは止められないからです。
また、守るべき対象も制御システムでは情報よりモノやサービスが重要になり、リスク管理の要求もデータの統合性だけでなく、人間の安全性が絶対に必要になります。
つまりIoT時代では、セキュリティとセーフティの両方を満足させる設計が必要になるのです。しかも制御システムのシステム更新サイクルは10年から20年。長期にわたって使われる機器をどう保守していくのかも考慮しなければなりません。
IoTをビジネスに適用していくには、こうした情報システムと制御システムの要求事項の違いを理解した上で、両方に対応したセキュリティ対策に取り組むことが求められているのです。
![[写真] 下辻 成佳](assets/fig/001/pic01.jpg)
東芝が行うIoTシステムのセキュリティに関する課題解決の支援には、これまでの情報システムと制御システムの両方の領域における先進的なセキュリティへの取り組み実績を背景とした、いくつかの特長があります。
まず、チップ(半導体)からクラウドまで、全てのレイヤーのデバイスに対応できることです。PCはもちろん、センサーやゲートウェイ、データセンターに至るセキュリティ保護にも対応できます。そこでは、チップレベルから大型の装置レベルまで、さまざまな機器に対応してきた経験が生かされています。
また、社会インフラの制御システムにも強みを持っています。エネルギープラント、鉄道システム、医療機器、ビルや工場といった社会インフラの制御システムの構築や運用にも深く関わり、膨大な数のデバイスに対応してきました。そこでの理解を生かして、確実なセキュリティ対応が可能です。
さらに、情報システムの面では、東芝グループ内でセキュリティ対策を実践してきたノウハウがあります。従業員約20万人のPCの管理、ID/パスワードの認証などを実践し、東芝グループをターゲットとした標的型攻撃にも対応してきました。このように自らが実践してきたセキュリティ運用のノウハウをお客さまにも提供することができます。
こうした強みは四つのポイントに集約することができます。その一つがセキュリティに関する製品とソリューションの提供です。情報システムの領域で培ったノウハウを制御システムにも展開していきます。
二つ目がセキュアシステムのデザインと構築です。情報システムとは要求事項が違うことを理解して、制御システムの設計段階からセキュリティを確保していきます。
三つ目が情報システムの領域での知見やノウハウを生かしたセキュリティ監視とインシデント対応です。
そして四つ目がセキュリティ監査と認証取得への対応です。
これら四つのポイントの全てが連動することで、IoTに求められるセキュリティが確保できると考えています。
IoTの普及によって、これまでクローズドだった環境がオープンになり、新たなセキュリティ対策が必要になります。それにつれて公的機関による規制も増えていきます。これはお客さまにとって新たな懸念事項となるはずです。こうした変化も私たちがいち早く捉え、お客さまの認証取得なども支援していきます。
東芝ではIoT時代に要求される活動をより効果的にお客さまに提供するために、2015年10月に、社内カンパニーである東芝デジタルソリューションズ株式会社の中に新たな組織を発足させました。それがインダストリアルICTセキュリティセンターです。
東芝デジタルソリューションズ株式会社は東芝グループのICTソリューション関連部門を統合して誕生し、お客さまに直接IoTサービス事業を提供するとともに、東芝の各事業グループを通してお客さまにIoTの価値をお届けしていく使命を担っています。
この東芝デジタルソリューションズ株式会社の一部門であるインダストリアルICTセキュリティセンターに、IoTビジネスのセキュリティに関するノウハウと人財を結集し、システム設計を含めたセキュアなIoT機器やシステムの技術支援、セキュリティオペレーションセンター(SOC)の機能を含むIoT機器に対するセキュリティ監視・運用サービスの提供、IoTのセキュリティを支える人財の育成とサポート体制の強化を行っていきます(図2)。
IoTでは、幅広い視野から情報システムと制御システム両方の領域にまたがるセキュリティの確立が求められます。そのため、個別に取り組むだけでは十分なセキュリティの確保ができません。そこで東芝グループ内のIoTセキュリティに関連する機能を、インダストリアルICTセキュリティセンターに集約したのです。
特に注力するのが、セキュリティを専門とする人財の育成です。グループを横断して情報を共有し、標準化を進めるために、各組織でセキュリティに携わっていた人財を集めました。セキュリティ製品やソリューションに精通してIoTシステムのセキュリティ設計ができる「セキュリティアーキテクト」、鉄道や電力、水素システムなどのビジネスドメインに特化したセキュリティの専門家である「ドメインセキュリティエキスパート」、そして、サイバー攻撃手法やフォレンジック技術に精通しIoTシステムのセキュリティ運用をリードする「セキュリティ運用スペシャリスト」の三つのカテゴリーの人財を育成していきます。
このような東芝内における人財の育成に、お客さま社内でIoTのセキュリティを理解する人財の育成を含めて取り組んでいくことを、もう一つの柱として考えています。
IoTシステムのセキュリティは、インダストリアルICTセキュリティセンターだけで確立できるものではありません。インダストリアルICTセキュリティセンターをハブとして、今まで連携してきたセキュリティベンダーも含めて、今後も社内外との連携を深め、体制を強化していきます。
2015年9月に発表したインテル社とのIoTセキュリティにおける協業もその一つです。2015年度中に両社の技術を組み合わせ、エネルギーや交通・運輸、ヘルスケアなどの産業インフラ領域を対象に実証実験を開始し、重要インフラにおけるセキュリティ設計・構築手法やツールなどを整備して体系化を図っていきます。
また、東芝グループの各カンパニーや分社会社などのビジネス部門とも、具体的なセキュリティ案件を基に各ビジネス領域を対象に共同でPOC※を行うなど、セキュリティビジネスを開発するとともに、各製品やサービスにおいてセキュリティを確保するための技術支援を行います。
こうしたIoTのセキュリティを効果的に実装するために取り組んでいるのが、東芝IoT基盤セキュリティです。モデルとして選定したIoTシステムに対してセキュリティの実装検証を行い、IoTセキュリティの標準と推奨実装モデルを明確にしていきます。
一方、東芝としてあるべきセキュリティシステムの構築を通して、コンサルティングのスキルを蓄積し、お客さまのIoTビジネスを支援していきます。
東芝にとってこれまでの豊富な実績と"現地・現物・現場"は大きな財産です。IoTセキュリティソリューションでも、実践を通して確かな知見とノウハウを蓄積し、お客さまに新しいビジネス価値を提供したいと考えています。
![[写真] 小川 八洲志](assets/fig/001/special_pic01.jpg)
株式会社東芝
経営企画部
情報セキュリティ・デジタル
コミュニケーション担当
グループ長
小川 八洲志
- Yasushi Ogawa -
東芝では、2004年に社内の情報セキュリティを所管する専門部署を設け、東芝グループ全体の情報セキュリティ強化に取り組んできました。グループが共通で守るべきセキュリティのルールや管理の枠組みを整備するとともに、常に社会の動向をウオッチし、情報セキュリティ対策の強化に努めています。
東芝グループでは年に1回、東芝の各部門やグループ会社が情報セキュリティに関する自主監査を行います。チェックリストに基づいて、ルールの遵守状況を自らチェックし、さらにその結果を上位の組織が確認して、必要に応じて改善を指導します。
共通のルールは定期的に見直していますので、教育にも力を入れています。東芝グループの全ての役員と従業員には、情報セキュリティの考え方や毎年の重点ポイントをeラーニングなどで周知しています。
情報セキュリティ対策は、業務システムやWebサイトの保護、電子メールやID/パスワードの安全管理、ハードディスクの暗号化など、あらゆる局面で行っています。外部からの攻撃に備えるだけでなく、万一内部に侵入されても被害を出さないような多層防御の仕組みも強化してきました。
そこでの基本的な考え方は、“ITでできるところはITで”ということ。教育を通してITリテラシーを上げる取り組みは行っていますが、人間は必ずミスをするものです。できるだけ人に頼らない仕組みに近づけることが重要です。
ただ、最近では人の弱い部分を狙ったソーシャルエンジニアリングや標的型攻撃が増えています。また、制御システムなど情報システム以外のセキュリティへの取り組みも強化しなければなりません。そこでは個別の事象への対応とともに、全体のリスクを見据えて体系立てた対策が求められています。こうした課題に、今後も東芝デジタルソリューションズ株式会社と協力しながら取り組んでいきたいと考えています。
