あらゆるモノやヒトがインターネットにつながることで、これまでになかったさまざまな新しい価値やサービスを生み出すIoT(Internet of Things)の適用範囲が日々拡大している。IoTにより得られる情報を活用することにより社会の利便性が向上する一方で、脅威となるのがサイバー攻撃である。サイバー攻撃はある一部のサービス停止にとどまらず、私たちの暮らしをも脅かす存在となり始めている。このような状況は、社会イノベーション事業を推進する日立にとってもきわめて重要な課題である。サイバー攻撃からいかに社会を守るかという課題に対して、国内の産官学のみならず、国家間の壁を越えた協創によって取り組む日立の姿について、株式会社日立製作所サイバーセキュリティ事業統括本部長の斎藤浩へのインタビューを通して紹介したい。
画像: 株式会社日立製作所 サイバーセキュリティ事業統括本部長 斎藤 浩

株式会社日立製作所 サイバーセキュリティ事業統括本部長
斎藤 浩

文=西條義典 写真=石井孝始

私たちの暮らしに忍び寄るサイバー攻撃

2015年12月23日、ウクライナ西部に位置するイヴァーノ=フランキーウシク州の電力供給会社の設備がマルウェア(※1)に感染し、その地域の数万世帯が数時間にわたり停電した。また、2016年3月には、中国やトルコ、ロシアなど世界各地のインターネットにつながった監視カメラや火災報知器といったIoT機器15万台が乗っ取られ、大量のデータを送りつけるディードス(DDoS(※2))やウイルスばら撒きの踏み台にされていたというニュースも流れた。日本においても、標的型サイバー攻撃による情報漏えい・流出事件は記憶に新しい。このほかにも、発見されたセキュリティの脆弱性が公表される前の隙を狙ったゼロデイ(zero-day)と呼ばれる攻撃も世界各地で起きている。こうした頻発する事案について斎藤は次のように語る。

「IoTの利用拡大で、たとえば家の照明やエアコンのON/OFFを外出先から確認し操作できるようになりました。このような仕組みを動かすために、私たちが認識していないところで大量のデータのやり取りが行われていますが、セキュリティへの配慮はまだ十分とはいえません。ここ数年、発電所や工場の制御装置などが狙われ始め、なんと自動車が操作されてしまうという事象も報告されました。情報が盗まれるという脅威だけでなく、実際に社会で動いているモノが止まったり、乗っ取られたり、破壊されたりということが起きているわけです。サイバー攻撃の手口は今後もますます高度化、組織犯罪化していくと思われます。これはIT業界だけの問題ではなく、国や業界、企業、さらには個人にまで関わる社会インフラ全体に影響を及ぼす大きな問題です」

このようにサイバー攻撃は事業の存続すら危うくする要因であり、IT化が進んだ現代ではどのような事業もこの脅威と無縁ではない。情報漏えいへの問題意識は高まったが、セキュリティ対策の成否が事業の継続をも左右することは、まだ十分には知られていないのではないだろうか。

※1:malicious softwareを意味する造語
※2:Distributed Denial of Service(ネットワークを通じた攻撃手法の一種)

どのようにサイバーセキュリティに取り組むべきか

では、実際にサイバーセキュリティに取り組むとなったときに、企業はどのように対処すればいいのであろうか。現在、日本で起きている情報漏えいなどの事件のほとんどは、あらかじめターゲットを特定した標的型の攻撃によるものだ。従来の不特定多数を相手にばら撒かれたウイルスは比較的撃退しやすかったのに対して、標的型はターゲットとなる組織を徹底して調査した上で攻撃を仕掛けてくるため、防ぎきるのが非常に難しいのが現実である。このような現実を踏まえ、斎藤はサイバーセキュリティへの取り組みを次のように考える。

「セキュリティは破られることを前提に考えることが必要です。したがって、いまでは多層防御の仕組みが主流です。まずは、いくつもの防御策を重ねて、一つが破られても、すぐには次に侵入されないようにすること。さらにそれも破られることを想定し、侵入された場合の影響範囲をとにかく早く特定して切り離し、影響範囲を極小化すること。同時に、破られたところを一つひとつ解析して対策していくことです。最近の情報漏えい事件の一番の問題は、対処の遅さにあると思います。通常、一日に何度も攻撃を受けているはずですから、一回目があったときに影響範囲を見定め、他と切り離していれば事件にはならなかったと思います。とにかく1秒でも早く検知して対処したかどうかが勝負の分かれ目です。繰り返しになりますが、まずは多層防御で守りを固める、次に破られた場合の対応を講じておくことが必要なのです」

画像: 多層・複合の防御と被害拡散防止

多層・複合の防御と被害拡散防止

一国家、一企業だけでは守れない

サイバー攻撃はいうまでもなく、いつ、どこから、何を(誰を)標的に、どのような形で攻撃されるか分からない。ましてIoTの時代、インターネットにつながるデバイスの数は世界で数百億個にもなるといわれる(※3)。こういう時代に一国家や一企業だけで攻撃に対処するのは限界がある。そのため、今、米国では政府主導のもと、民間企業やサイバーセキュリティ企業、大学などが一体となって情報交換を行ったり、対策を図ったり、場合によっては投資を行ったりしている。日本も同様で、「サイバーセキュリティ基本法」(2015年1月施行)をもとに、経済産業省が「サイバーセキュリティ経営ガイドライン」(2015年12月策定)を公表し、その中でサイバーセキュリティを経営課題として明確に位置づけ、企業とともにリスクマネジメントの強化に取り組み始めている。たとえば、ある企業・組織でサイバー攻撃によるインシデントが発生したら、情報が即座にその企業・組織が所属する脅威情報共有機関に通知される。そして「あなたの組織は大丈夫ですか?」といった情報が一斉に通知される仕組みが産・官それぞれの分野で構築されつつある。また、ある企業の情報がマルウェアによって外部に流れている場合など、独立行政法人 情報処理推進機構(IPA)などからその情報が送られてくるようになっている。こうした産官の連携の必要性について、斎藤は次のように語る。

「いま、政府が非常に危機感を持っている背景の一つに、2020年の東京オリンピック・パラリンピックがあります。2012年のロンドンオリンピック・パラリンピックのときもサイバー攻撃の手法は極めて精緻で、その量は半端なものではなかったといいます。

そこで内閣府サイバーセキュリティセンターでは、政府はもとより金融、交通、ライフラインなど日本の重要インフラ13分野を定義し、対策を強化しようとしています。

とくに電力に関しては、IoT機器の一つであるスマートメーターの導入や電力の自由化によって多くの企業が参入するといった変化が起きていますので、サイバー攻撃からどう守っていくのか新たな取り組みが求められます。幸いなことに経営層の方々の意識は高く、危機感を強く持たれています」

画像: 一国家、一企業だけでは守れない

※3:出典:情報通信白書(平成27年版)5章4節

セキュリティでIoTを安全にする

IoTの時代はまだ始まったばかりである。日立のIoTに対する取り組みは本誌前号(16号)で紹介したばかりだが、日立が先ごろ提供を開始したIoTプラットフォーム「Lumada(ルマーダ)」においても、セキュリティは重要なコンポーネントとなっている。

そこでルマーダにおけるサイバーセキュリティの位置づけについて少し触れておきたい。その考え方としては三つあるという。一つ目がルマーダが提供する、ルマーダにつながるシステムのためのセキュリティだ。二つ目はルマーダ自身が備えるセキュリティで、プラットフォームの健全性を保つものだ。もしプラットフォーム自体が脆弱であれば、その上に作られたシステムの信頼性は低くなってしまう。このためルマーダが提供する機能が、ルマーダでつながった既存のITシステムやOTシステムを誤動作させるような影響を与えないための仕掛けとして位置づけている重要なセキュリティである。三つ目はルマーダ上で稼働するシステムのセキュリティを保つために提供されるサービスだ。たとえば経年によって暗号強度が下がってはいないかといったセキュリティ要件の劣化を外側から監視するもので、運用サービスとして組み込まれる。ルマーダはこれら三つのセキュリティを組み合わせることによって安全なIoT運用環境を実現する。

拡がるサイバーセキュリティ対策

日立のサイバーセキュリティに対する取り組みは、現在、さらに外に向かって拡がろうとしている。日本はまだ比較的安全・安心な国で、重要なインフラを狙ったサイバー攻撃による被害は報告されていない。攻撃を受けた経験のない人間には、どう対処すべきかを思いつくことはできない。そこで日立では、攻撃を受けたサイトの閉鎖や被害の最小化、また被害の確認や抑止、さらには再発防止に向けた情報交換や情報共有などのインシデントに対するハンドリングについて実際の現場経験を持つ海外の先進的なサイバーセキュリティ企業と連携し、先進的なセキュリティ製品やサービスの提供などを積極的に進めている。

一方、産官学との協創では、とくに大学との協創が非常に重要になってくる。その背景について斎藤はこう語る。

「そこには一つの大きな理由として、サイバーセキュリティの分野における人材不足があります。これは国全体の問題で、経済産業省は2020年に日本全体では20万人が不足すると試算しています。日立を含む企業においても今後ますます深刻な問題となってきます。現在、日立にはサイバーセキュリティの部隊として千人くらいの社員がいますが、2020年までには10倍の一万人くらいにしたい。もちろん社員の育成はしますが、それだけでは間に合いません。学生が企業に入ってからセキュリティの勉強をするのでは遅いので、いまから学んでいただいて、その知見や知識を活用したいと考えています。また大学は先進のセキュリティ技術を研究する場でもあります。それらの観点から、先般、慶應義塾大学と日立の研究所との共同研究契約を締結しました。これは、高度化・大規模化するサイバー攻撃に対するセキュリティの運用管理や、個人情報の安全性に関連する技術開発などを行うことを目的としています」

このほか、日立はグローバルな産官連携にも積極的に取り組んでいる。たとえば、サイバーセキュリティに関する日米、日独といった国家間連携においても、各種の協議会や専門委員会に参画したり、業界団体の活動を通じて標準化やガイドラインなどのルール形成に尽力したりするといった活動も行っている。

画像: 脅威対策への組織連携

脅威対策への組織連携

日立のセキュリティコンセプトH-ARC

これまで述べてきたようなつながる時代には、さまざまなシステムが相互連携、相互依存の関係にあり、サイバーセキュリティもこの特性を考慮することが必要だ。日立では、この相互依存の特性を持つ社会インフラシステムの構築に古くから関わっており、社会インフラに求められる「サービスの継続性を確保する」という観点でもセキュリティに取り組むことの重要性を熟知している。このようなセキュリティを確保するための要件を体系化したのが、日立が提唱する「H-ARC」コンセプトだ。「H-ARC」は、強じん性(H:Hardening)を前提に、新たな脅威に対する事前対策・防御を継続的に強化・実施することで適応性(A:Adaptive)を確保、攻撃発生後の被害を最小化・復旧を短時間化する即応性(R:Responsive)を備え、異なる組織・事業者間の協調(C:Cooperative)を図ることによって、「システム」「運用」「組織」でセキュリティを確保するという考え方だ。このうち「運用」と「組織」については現状では人間に頼る部分が大きいが、新技術を適用した高度化、省力化のための研究開発も積極的に進めている。具体的には大量の通信ログデータをビッグデータ解析し、危険因子をはらむ情報を抽出したり、AIで未知のマルウェアを検知したりすることだ。これにより、新たな脅威への対応が可能になる。

画像: 日立のセキュリティコンセプト「H-ARC」

日立のセキュリティコンセプト「H-ARC」

試される日本のサイバーセキュリティ

さらに斎藤は、セキュリティを使いこなす人への取り組みが重要であるとし、次のように語る。

「セキュリティに限れば、2020年までの残された時間が極めて不足しています。人も足りないということからいえば、いままでのビジネスと同様に各社が競争していたのでは、日本の社会全体のセキュリティは守れないと思います。そこで重要なのは、日本の企業や大学などとのパートナーシップを拡げることです。自分の得意なところ、不得意なところを補いあうようにしないと、日本は守れない。そのためにもより大きな視点でノウハウを共有しあっていきたいと考えています。もう一つは、個人、なかでも社会インフラに関わる仕事をされている方々のセキュリティ意識の底上げでしょうか。昨今、とくに注意しなければならないのは、かつて企業を標的にしていたランサム型、いわゆる人質型といわれる攻撃が、個人を標的にして急激に増えていることです。これはマルウェアに感染すると、自分のコンピュータのファイルがすべて暗号化されてしまい、身代金を払うと暗号解読のキーと引き換えに元に戻るというものです。個人を狙っているため、身代金はたとえば10万円とか比較的払いやすい金額のうえ、ビットコインといった仮想通貨でやりとりするため、非常にやっかいです。払ってはいけないと警告されていてもつい払ってしまったという記事も見られ、倫理的な問題にもなっています。このように欧米諸国に比べて、日本国内ではまだまだセキュリティ意識は低いので、なんとか社会全体の意識が高まるように貢献できればと思っています」

日本のセキュリティは、国や研究機関、企業から個人まで幅広い層が危機意識を共有し、共に創り上げていくことが必要な時代にきている。斎藤は、最後にこう語る。

「日立は、2000年以前の情報セキュリティの時代から、セキュリティに対する取り組みを組織化して活動してきました。そこで蓄積してきた実績、そして、お客さまおよび日立自身を守るために得た知見やノウハウも生かしながら、企業が抱える人材不足や意識向上の問題についても、お客さまに寄り添ってサポートしていきたいと考えています」

終わりのないサイバーセキュリティの戦い。日立の、そして日本の実力が試されようとしている。

画像: 試される日本のサイバーセキュリティ

This article is a sponsored article by
''.