写真提供:マイナビニュース

写真拡大

●IoTの普及による弊害
昨今、市場が拡大傾向にあるIoT。多種多様な企業が、自社の価値向上につなげるべく活用しているが、利便性を追求するあまり、セキュリティがおろそかになっている可能性も否めない。実際、マルウェア「Mirai」なども登場しており、今後IoTを活用していくためにもセキュリティ対策は、もはや喫緊の課題になりつつある。

「近年、デジタル技術の第3の波としてIoTが増加していることに加え、第4の波としてIoTで集めたデータを使用し、AIとロボティクスの活用領域も増加している。これらの技術を活用する場合、データの信憑性、可用性の面でシステムが停止することを避けなければならない」と、語るのは富士通 グローバルサイバーセキュリティ部門 サイバーセキュリティ事業戦略本部 エバンジェリストの太田大州氏だ。

○今後、求められる企業・組織としての価値

太田氏は「われわれはクラウドやモバイル、IoT、AIなどを活用し、企業のデジタルトランスフォーメーションを支援しているが、セキュリティと一体となったものを提供しなければならないため、セキュリティはセキュリティで別に考えるという話ではない。セキュリティ自体は概念が広く、われわれの事業はスマートフォンからPC、サーバ、スーパーコンピュータ、ソフトの領域と多岐にわたるため、全方位で取り組む必要がある」と力を込める。

この傾向は15年前から同じであり、同社ではセキュリティの課題は解決されていないと認識しており、新しい考え方としては「事故前提の対策」により、リスク低減を図ることに取り組んでいる。これまでのセキュリティは情報保証(IA)のみだったが、これからのセキュリティは可用性や完全性まで範囲を広げていくことが望まれているという。

太田氏は「今後、企業ではIoTにより、ビジネスを拡大していくためにセキュリティのトラブルによる事業の停止を避けなければならず、迅速な復旧など事故前提型の考え方を採用しなければならない。IPAの『情報セキュリティ10大脅威 2017』によるとIoT機器の脆弱性の顕在化が8位となり、初めてIoT機器への脅威がランクインした。これから先IoTもIPv6が主流となった際、個々のデバイスやIPアドレスが任意で決まると攻撃者からすれば、攻撃がしやすい環境となってしまう」と警鐘を鳴らす。

また、同氏は「サイバー攻撃が及ぼす経営リスクは情報漏えいだけでなく、知的財産、営業秘密情報、業務停止、そして最も懸念しているのはIoTの普及により、新しい社会のイノベーション(ex.自動運転)に対して警告を発するブラックハットからの攻撃などは、ベンダーからすると脅威になる」という。

これは、IoTが個人のものであると同時に社会を形成していることから、企業側からすれば自社のサプライチェーンをどのように守るのか、という観点が重要だとしている。現在、米国では政府調達に関するサプライチェーンについては米国国立標準技術研究所(NIST)が発行するSP 800-53の認証を要求しており、同社は日本のサプライチェーンの方向性については非常に重要だと認識している。

そのような状況を踏まえ、企業のシステムをダウンさせないために、さまざまな事前準備を施し、危機管理能力を向上させて、いかに早く復旧させるかということが今後の企業・組織の1つの価値になるという。

○「Security by Design」と「Optimality by Design」のバランス

太田氏は企業・組織としてサイバー攻撃を発生させないことが必然としてあり、システムの中で何が起きているのかを可視化しなければならないが、これまでは可視化の準備をしていなかったと言及している。また、多少のログが存在していても1週間も経過すれば消失してしまうため、6〜7カ月など長期間のサイバー攻撃を受けると攻撃の痕跡を探し出すことは、難しい側面があるとも語る。

同氏は「潜在的に存在するリスクを調査していく中からインシデントを導き出すとともに対応していく能力は、新しい能力として企業・組織が備えていかなければならないため、意思決定を可能とするCSIRTなど自社でリスクマネジメントができる組織を持たなければならない」と話す。

「そこで、われわれが注力しているのがエッジ&センサやモビリティ、クラウド、AI/ビッグデータなどICTの活用による価値創造を目指す『Security by Design』、サイバー攻撃、情報漏えい、不正アクセスといったセキュリティと事業継続を担保する『Optimality by Design』だ」と、同社が提唱する新しいサイバー攻撃に対する考え方について同氏は説明した。

これからIoTが普及していく状況下においてサイバー攻撃は、同社がチャレンジする技術領域であると同時に「守りのセキュリティ」から「攻めのセキュリティ」への転換が必要になり、事故前提型の対策が求められている。

●事故前提型のIoTセキュリティ対策を実現するために
○サイバー攻撃を可視化するセキュリティ技術

IoTに対するセキュリティの必要性について、富士通 ネットワークサービス事業本部 IoTビジネス推進室 商品企画部長の寺崎泰範氏は「企業は事業活動にIoTを導入するにあたり、低コストではじめたいと考えており、セキュリティ対策が後手になることがあるため、どちらか一方からということではなく、バランスを取った投資が必要だ。特にIoT導入により、無意識に情報が採取されてしまうことの脅威や、デバイスが勝手に制御されてしまうことのリスクも意識しながら、危機感を持って取り組まなければならない」と指摘する。

同社が目指すセキュリティについて太田氏は「リアル空間とサイバー空間の仕切りは認証となるが、認証はさまざまな形態のため不合理な場合があり、多様性を取り入れた認証に取り組んでいる。また、今後SoE(Systems of Engagement:企業のビジネスプロセス革新や新ビジネス創造などのデジタル革新を実現するシステム)の世界ではデータを活用していく時代を迎えるため、データを匿名化したり、暗号化したりするなどプライバシーを保護しつつも、データ活用を促進する施策を進める。さらに、脆弱性監視や証拠性確保、インシデント対応に向けたProActive(予測予見)なサイバー攻撃対策を図る」と説く。

そして、同氏は「特に内部で何が起きているのかを把握する技術に特化しており、通信の出入り口で多様な通信パケットの状況を把握することは、集中的に監視する上では効果的となる。そこで、パケットの流れを監視することでサイバー攻撃を検知する技術を開発した。ほかの検知装置はマルウェアや危険性があるURLなどを発見することが可能だが、われわれは攻撃そのものを検知することができる。ここで重要となるのが『未知のサイバー攻撃の検知技術』『感染拡大・不審な振る舞いを遮断する技術』『証跡収集・影響分析技術(高速フォレンジック技術)』の3つの技術だ」と続けた。

未知のサイバー攻撃の検知技術は、複数の攻撃手段を有するハッカーに対し、従来の仕組みではPCにメールが届いた瞬間、URLにアクセスした瞬間、マルウェアがダウンロードされた瞬間、マルウェアが攻撃者につなげた瞬間など作業の流れの中で、それぞれの検知装置が別々に攻撃を見つけて対応していたため、攻撃対策に投資を継続しなければならなかったが、同社では攻撃者の侵入、諜報、搾取といった行動に着目。

これにより、PCが連続でどのような通信を行っていたかを1台ごとにリアルタイムで監視し、攻撃の深度が進むとアラートで知らせることができるという。

また、感染拡大・不審な振る舞いを遮断する技術は、すでに製品化されている「iNetSec Intra Wall」だ。マルウェアに感染した端末は、攻撃者の遠隔操作に基づき、別の端末へ攻撃を試みるが、同技術はネットワークのチョークポイントを直接監視することで、遠隔操作での感染拡大、諜報活動を発見し遮断する。他社製品で判断が難しい諜報活動の検知も可能としている。

さらに、証跡収集・影響分析技術(高速フォレンジック技術)の特徴は、例えば企業の支店ごとの通信の出入り口で外部との通信を収集した上で、通信データから端末操作のみを自動抽出し、インシデントが発生すれば攻撃分析コンソールでビジュアライズすることにより、自動分析を行える点だ。

ほかに攻撃を受けた端末を洗い出すことで、攻撃の流れや攻撃全体の俯瞰図を描くことを可能とし、時間と手間を要することがなく、従来は数週間を要していた証跡分析の作業が同技術により数十分に短縮することができ、経営者の迅速な意思決定につなげるという。

○2019年度には社内のセキュリティマイスター認定者を1万人に拡大

一方で、セキュリティの人材不足が叫ばれている状況下において、太田氏は専門の技能を有する人材を時間をかけて育てるのではなく、技術者全体にSecurity by Designを可能にする人材育成が大切であると話す。

その取り組みの一環として、半期ごとに社内においてセキュリティ専門ではない従業員も含めたセキュリティコンテストを実施しており、そこで発掘した人材は教育コースを提供し、セキュリティマイスター認定制度で認定する。

認定者はコミュニティに参加することで、ナレッジを共有し、将来のセキュリティソリューションや本来の業務に組み込むことを行っている。これにより、セキュリティ部門の人材でなくても、セキュリティに対する全社的な意識が高まるというものだ。

2017年3月末時点でセキュリティマイスターの認定者は1911人に達しており、内訳はホワイトハッカーレベルのハイマスターが7人、同社製品のセキュリティを専門にサポートしているエキスパートが189人、現場の品質確保や的確な事後対応を行うフィールドが1715人。同社では、2017年度末までにセキュリティマイスターの目標人数を2000人に設定しているが、達成する見込みは高く、2019年度中には1万人まで拡大させる。

太田氏は、最後に日本の現状について「日本は諸外国に比べて、セキュリティの産業化が遅れていることもあり、米国やイスラエルなどは国家機関での活用(実践的育成)からスタートアップ(企業化加速)、技術の輸出(世界貢献)、貿易収支改善(国益増強)、研究開発(拠点づくり)というエコシステムが形成されている。今後、日本でも技術的優位性を確保していくため、研究開発を行いつつ人材育成にも取り組み、エコシステムを形成すべきであり、国産のセキュリティ自給率の向上を目指すことが望ましい。IoTでビジネスが加速することは良い側面でもあるが、コアになる得るものを守るということが重要だ」と、考えを明かした。

(岩井 健太)