CPSのデジタルトラスト実現に向けた東芝のサイバーセキュリティ戦略(後編)

イノベーション, テクノロジー
2020年6月29日

 東芝がCPS(サイバー・フィジカル・システム)テクノロジー企業を目指す上で重要となるセキュリティ。前編では、情報システムと製品セキュリティを包括した東芝のサイバーセキュリティ戦略の全体像について紹介した。後編は、制御セキュリティにフォーカスし、なぜ制御セキュリティを重視しているのか、どのようなソリューションの開発・提供を進めているのか、また、ウイズコロナ時代のセキュリティへの取り組みについて、東芝デジタルソリューションズのCISO(最高情報セキュリティ責任者)であり、東芝 サイバーセキュリティセンター長を務める天野隆が解説する。       

東芝デジタルソリューションズ株式会社 サイバーセキュリティセンター長  天野隆

制御システムセキュリティで押さえるべきポイントとは

 前編では主に東芝における「デジタルトラスト」への取り組みについて紹介しました。フィジカルとサイバーが繋がるCPSの実現においては、IT領域だけでなく機械や設備、システムの制御技術(OT)の領域も含めたセキュリティが重要になるため、東芝グループでは、情報システムと制御システムを包括したセキュリティ戦略を推進しています。

 制御システムのセキュリティを考える上で、まずしっかりと押さえたいのは「守るべきものは何か」ということです。例えば、社会インフラであれば持続的な運用、製造設備だとIP(知的財産)情報や設計データ、製造データなどでしょう。守るべきものを定義した上で、そのための施策を考えていくことです。

 そして、制御システムへのサイバー攻撃の進入口は情報システムである場合が多いということです。これは私たちの経験知からも明らかです。だからこそ、ITとOTのセキュリティを包括的に考える仕組みが必要になるわけです。さらに制御システムで忘れてはならないのが、物理的な攻撃への対策です。大規模なインフラや工場は複数のサプライヤー、複数の機器で構成されており、自社だけでなく他社も含め多くのスタッフが働いています。そういう方々の入退室をきちんと管理し、サイバーと統合していくことも必要でしょう。

汎用的に活用しやすい制御セキュリティのコンポーネントを開発

 重要インフラや工場などにおいてデジタルトランスフォーメーションを進めるには、現場環境や設備に汎用的なものを用いて、クラウドとの連携を含むネットワーク化を行うことが重要になります。一方、ネットワーク化が進むとサイバー攻撃の起点が増えるため、セキュリティリスクも高まります。そのため、共通的に利用できるセキュアな仕組みを作り、インシデントが起きた場合に早くコストをかけずに対応できるような取り組みが必要になります。

 そこで、東芝ではデジタルトランスフォーメーションを実現するため、産業用IoT(IIoT)サービス開発の基盤として、2018年に「東芝IoTリファレンスアーキテクチャー(Toshiba IoT Reference Architecture:TIRA)」を整備しました。東芝が提供するIoTのシステムやサービスはこのアーキテクチャーに準拠して開発されています。このアーキテクチャーでは制御セキュリティのソリューションを標準で提供することを予定しています。そこで私たちはより汎用的に活用しやすくなるよう、標準コンポーネント、共通コンポーネント、業界固有コンポーネントの3つを提供できるよう開発を進めています。こうすることで、IT、OT双方のシステムをより効率的にセキュアにすることができると考えているからです。またTIRAは経済産業省の「サイバーフィジカルセキュリティ対策フレームワークVer1.0」に準拠したリスクアセスメントの考え方を用いています。

展開が加速する制御システム向けセキュリティソリューション

 東芝グループが提供している制御システム向けのセキュリティソリューションをいくつか紹介しましょう。今、最も注目を集めているのが「制御システム向けサイバーセキュリティ・プラットフォーム CyberX Platform」です。これは、制御ネットワークの最新状況を把握し、不正接続監視、異常通信などを検出し、その脅威を分析するソリューションです。イスラエルに開発拠点を持つ米国のセキュリティーベンダーCyberX社が開発したソリューションで、世界3,000カ所以上への導入実績があり、国内でもすでにエネルギー業界などに導入されています。同ソリューションにはHorizon Protocol ODEというユーザー自身が独自の産業用プロトコルのプラグインを追加する機能が搭載されており、日本の産業現場特有の環境においても資産とネットワークの可視化や異常検知できるのが特徴です。

 またもう一つ、引き合いが増えているソリューションに「Waterfall一方向セキュリティゲートウェイ」があります。こちらは、イスラエルの産業サイバーセキュリティテクノロジー企業であるWaterfall社が開発した商品です。送信側ネットワークから受信側ネットワークへの物理的な一方向通信を実現することで、データ送信を可能にしながら逆方向の攻撃通信を遮断し、制御システムへの攻撃や機密情報システムからの情報漏えいを防止できます。重要インフラのお客さまなどで活用されています。

 最近東芝が注力しているのは、重要インフラのパケットをすべて収集できるようなソリューションの開発です。サイバー攻撃によって重要インフラが被害を受けた場合、開発者として説明責任が生じることがあります。何が起こったのか、過去を振り返って分析するためにも、すべてのパケットを蓄積し分析する仕組みが必要です。このようなソリューションの導入も、一部のインフラで始めています。

 また、インフラ施設や工場にあるレガシー機器をサイバー攻撃から守るソリューションも提供しています。工場の中には、何十年にもわたり使われ続けているようなレガシー機器もあり、そのような機器が混在していると、セキュリティ対策がなかなか進みません。しかし、サイバー攻撃の進入路は外部ネットワーク経由やUSBメモリなど多種多様で、ネットワークに繋がっているのであれば、レガシー機器も含めてサイバー攻撃から守らなくてはなりません。このようなあらゆるエンドポイントを守るソリューションとして提供しているのが、「IoTセキュリティソリューション CYTHEMIS(サイテミス)別ウィンドウで開きます(東芝インフラシステムズ)」です。CYTHEMISは東芝のITカードで培った技術を基にして開発された外付けセキュリティデバイスで、攻撃から守りたい機器に外付けすると、正規の鍵と証明書を持ったもの同士でしか通信できなくなります。不正アクセスを検知・遮断するだけではなく、それらの機器を管理するシステムと連携することでセキュリティ情報を可視化し、高いセキュリティ環境を実現します。

CyberX Platformのイメージ図

ウイズコロナ時代のセキュリティへの取り組み

 東芝グループでは、新型コロナウイルスの感染拡大を受けて、業務の性格上、出社が必要な社員を除き、原則テレワーク(在宅勤務)での勤務を実施しています。ウイズコロナ時代の働き方として、社員の自宅やサテライトオフィスを活用して仕事を行うテレワークは、ニューノーマルと言えるでしょう。その一方で、テレワークを狙ったサイバー攻撃による被害のニュースが後を絶ちません。しかし、サイバー攻撃に対するセキュリティ強化策として、便利なサービスの利用を制限したり、利用ポリシーを必要以上に厳しくすることは、本来の事業活動や業務効率化への妨げになりかねません。そこで、これらのバランスを考えた施策を行うことが重要になってきます。

 この課題に対して、現在、東芝が取り組んでいるのが、新たなネットワークセキュリティ「ゼロトラストネットワーク」の構築です。前編で攻撃されることを前提に対策を講じるという「ゼロトラスト」の考え方をご紹介しましたが、この考え方をネットワークで実践しているのがこの取り組みです。

 「ゼロトラストネットワーク」は、社内からのアクセスをはじめ、社員やお客さま/パートナーからのパブリックネットワーク経由のアクセスやモバイル環境からのアクセスすべてに対して、インターネット上のゲートウェイと認証サービスによるセキュリティ対策や暗号処理対策を施し、システム開発業務や協業ビジネスに必要なクラウドサービスを受けられるようにする仕組みです。これにより、社内外からのすべての情報のやりとりや利用者の状況を監視します。「ゼロトラストネットワーク」の肝である監視は、セキュリティオペレーションセンター(SOC)にて常時行います。当社のSOCでは、監視の漏れを防ぐために、第一段階の振り分けにAIのモデルを導入するなど、オペレーションの精度向上と効率化を図っています。

ゼロトラストネットワークの仕組み

「カスタマーゼロ」のポリシーで、自社での実践・経験知をお客さまに提供

 今後、東芝グループは「東芝IoTリファレンスアーキテクチャー」に準拠したソリューションを開発・提供していきます。もちろん、お客さまごとのニーズにも対応しカスタマイズできるように、コンサルティングを用意しています。アセスメントをしっかり行い、ユースケースのシナリオをターゲティングし、そこに存在するリスク、セキュリティ要件を定義し、我々が提供しているどのソリューションを導入すればそのリスクが低減できるのかを分析・提案してまいります。

 東芝では「カスタマーゼロ」というポリシーを掲げています。自社で実践し、経験知を得た上でお客さまに提供していくという考え方です。そして私たちには長年にわたりフィジカルな世界で事業展開しているアセットという強みがあります。実績と知見に裏付けされた私たちのセキュリティソリューションが、お客さまのデジタルトランスフォーメーションに貢献できると信じています。

執筆:中村 仁美
  • この記事に掲載の、社名、部署名、役職名などは、2020年6月現在のものです。

「DiGiTAL CONVENTiON(デジタル コンベンション)」は、共にデジタル時代に向かっていくためのヒト、モノ、情報、知識が集まる「場」を提供していきます。

掲載されている内容は取材時点の情報です。別ウィンドウで開きます マークは別ウインドウで開きます。