ビジネス&テクノロジー

「製造業セキュリティフォーラム」を開催、ITとOTの融合とセキュリティ戦略について参加者と意見を交換

投稿者 Fortinet Japan Marketing | 2021年12月20日

OT(運用技術)とIT(情報技術)の融合が進む中で、企業が取り組むべきセキュリティ戦略を参加者と共に考える「製造業セキュリティフォーラム」を2021年12月2日に名古屋で開催しました。

本フォーラムは、元IDC Japanリサーチマネージャーと産業サイバーセキュリティの専門家による2つのセッションと、OTセキュリティを推進するユーザー企業を交えたパネルディスカッションの3部構成で、参加者間のディスカッションも交え、非常に有意義な場となりました。

この記事では、前半の2つのセッションの模様をレポートします。セッション動画も公開していますのでぜひご視聴下さい。

セッション動画
セッション 1 : DX推進を支援するセキュリティ戦略
セッション 2 : 工場DXをセキュアに進めるための3段階アプローチ

セッション 1 : DX推進を支援するセキュリティ戦略

最初のセッションでは、フォーティネットジャパン マーケティング本部 フィールドCISOの登坂 恒夫より、日本のDXの現状と深刻化するサイバー脅威の状況、DXを進めるにあたってセキュリティ対策をどのように進めればよいかを紹介しました。

DXの現状と課題

スイスの国際経営開発研究所(IMD)の「世界デジタル競争力ランキング2021」によると、64カ国・地域の中で日本は28位で、毎年順位が下がっている状況です。企業の俊敏性は最下位、デジタル技術スキル、機会と脅威への対応、ビッグデータの活用と分析も60位以下で、日本のDX推進においてデジタル人材の育成、データ利活用、セキュリティ脅威への対応が課題になっていると言えます。

COVID-19パンデミックなど、不確実性が高まる環境に適用するために、データに基づく経営(データ駆動型経営)が注目されていますが、日本のDXは社内業務改善に向けたデジタル化にとどまっており、今後は顧客ニーズの取り込みや、ビジネス創出に向けたサプライヤー、パートナー連携などでのDXが求められています。

DX化によって増加するサイバーリスクと深刻化するサイバー脅威

DXが進むと外部との連携が増えて、これまで社内ネットワークにあったIT資産が社外ネットワークに置かれるようになります。顧客やパートナーとの連携が進み、また、ハイブリットワークによって自宅などからのアクセスも増えていきます。これは、従来あった社内ネットワークという信頼ゾーンがなくなったことを意味していて、ゼロトラストの考え方が求められるようになります。パブリッククラウドサービスも含めて資産が外部に広がり、攻撃対象範囲が拡大するため、それらの資産を可視化することも重要になります。

DXによる信頼低下と攻撃対象範囲拡大

ゼロトラストは米国国立標準技術研究所(NIST)が出した7つの基本的な考え方ですが、これを整理すると、アクセス要求の度にアクセスを与えてよいかを検証する、すべてのリソースに対して状態を監視し、問題が生じればセキュリティ態勢を改善するという流れになります。これを実現するには、すべての環境(オンプレからクラウドまで、ITからOTまでなど)で、セキュリティ機能の統合、連携が必要になってきます。

サイバー脅威に話を移しますと、今年の前半に米国のColonial Pipeline社がランサムウェア攻撃によって操業停止、身代金の支払い、サービス復旧のための多額の支出に直面した事件が大きく取り上げられました。直近では、国内の町立病院がランサムウェア攻撃に遭い、約8万5千人の電子カルテが閲覧不能になる、新規患者の受け入れを停止する自体に陥りました。昔のコンピューターウイルスは悪さをする程度のレベルでしたが、ランサムウェアの登場で攻撃が金銭目的に変わり、問題がますます深刻化しています。

FortiGuard Labsが発表した「フォーティネットグローバル脅威レポート」によれば、2021年6月のランサムウェアの検出数は1年前の10倍以上に増加しています。業種別のランサムウェアの検知率をみると、あらゆる業界で攻撃を受けていることが分かります。これは、ランサムウェア攻撃がサービス(RaaS)として提供されるようになってビジネスエコシステムが構築されていること、COVID-19パンデミックによるリモートワークの増加で、リモート端末の感染機会が増えたことなどが考えられます。

DXにおけるセキュリティ戦略

セキュリティ市場の流れをみると、大きな変化は2010年頃の標的型攻撃の登場で、Sandboxをはじめさまざまなテクノロジーが登場して多くのベンダーが参入、乱立状態にありました。現在は、単一テクノロジーの個別導入(サイロ型、ベストオブブリード)から複数のテクノロジーを組み合わせた統合型ソリューションに変化し、ベンダー間のパートナーエコシステム、シングルベンダーによる統合ソリューション展開などが進んでいます。フォーティネットは50以上の製品により統合ソリューションを提供しています。調査会社のガートナーも2022年のトレンドとして統合連携を「サイバーセキュリティメッシュ」という言葉で表しています

DXではデータを活用してビジネスを回しますので、データへの信頼が重要なポイントになります。多くの企業はプライバシーポリシーや企業倫理を策定し、コンプライアンス対応と、サイバーセキュリティや情報セキュリティの対策強化に取り組んでいると思います。その上で、資産全体を把握して重要度やリスクの度合いで分類し、高いものへの対策をより強化するなどのリスク管理が必要になります。

DXにおけるデータへの「信頼」

リスク管理、サイバーレジリエンス、コンプライアンス対応の強化のポイントと、これからの統合と連携によるセキュリティ対策と最適化についてはセッション動画を御覧下さい。

セッション 2 : 工場DXをセキュアに進めるための3段階アプローチ

2つ目のセッションでは、フォーティネットジャパン OTビジネス開発部 部長の佐々木 弘志より、OTセキュリティの重要性が高まっている背景、導入を検討する企業が抱える課題を説明しながら、導入のための3段階のアプローチを紹介しました。

サプライチェーンで生き残るためのセキュリティ投資

OTセキュリティが必要になった要因のひとつは「OTのIT化」です。工場の制御システムは、古くは閉域な環境で専用プロトコルが使われていましたが、2000年代後半から通信がイーサネットに置き換わり、さらに近年のDX推進の流れで外部接続されるようになったことで、OT環境がサイバー攻撃に遭う機会が増加しました。それに伴いサイバー攻撃も進化して、以前は個人情報や機密情報の流出が主なリスクでしたが、現在はランサムウェア攻撃でビジネスが停止するなど、企業にとってより深刻な問題になっています。これらの背景から、政府や業界団体による規制、ガイドラインの強化が進み、セキュリティ対策の不十分な企業が作る製品やサービスがサプライチェーンの中で生き残れなくなる可能性も出てきています。

なぜOTセキュリティが必要なのか?

DXの進展によるビジネス環境の変化についてもう少し詳しく説明します。需要予測、発注書、仕様書、品質データなどが電子化され、リアルタイムにやりとりされるようになると、ものづくりの「信頼性」がデータの「信頼性」に強く依存するようになります。サプライヤーや工場が正しいデータを提供できなければ、そこで作られる製品も信頼できなくなるということです。

OTシステムに対するサイバー攻撃事件を振り返ると、2010年のStuxnetへの標的型攻撃事件は政治目的で特殊な攻撃手法が用いられましたが、最近の攻撃は金銭目的で、ツール化されたランサムウェアが利用されるなど、犯罪がビジネス化、汎用化しています。2021年のColonial Pipeline事件では、ランサムウェア感染によりパイプラインの操業が6日間停止しました。注目すべき点は、データが攻撃されることで、パイプラインの操業というビジネスそのものが停止してしまったことです。ITとOTの連携が高まる世界では、データを攻撃することが、OTの稼働、すなわちビジネスそのものに被害をもたらします。ランサムウェアの身代金の対象はデータではなくビジネスそのものなのです。

OTセキュリティを進める上での課題

OTのデジタル化を進めて生産性を高めたい、工場のリモートメンテナンスを実施したい、クラウド上のAIを活用してデータ解析を行いたいなどのニーズが増えているものの、サイバーセキュリティリスクが大きな課題になっているという話をよく聞きます。この課題を整理するために、セキュリティ課題をPeople(組織)、Process(運用)、Technology(技術)の3つに分けて考えていきます。

OTシステムデジタル化の主要なセキュリティ課題

People(組織)、Process(運用)、Technology(技術)の3つの課題と、OTセキュリティを進めるための3段階のアプローチについてはセッション動画を御覧下さい。

登坂、佐々木のそれぞれのセッション後には参加者によるディスカッションが行われ、テーブル毎に各セッションに関する意見交換が行われました。参加企業各社の取り組み状況や抱えている悩みが共有されるなど、日常業務や一般のセミナー参加だけでは得られない情報共有ができて、多くの参加者より有意義な場だったという声を頂きました。

最後のセッションとなるパネルディスカッション「事例から学ぶOTセキュリティ対策」では、登坂、佐々木と、フォーティネット導入企業のインフラ部門責任者をパネリストにお迎えして、OTセキュリティ対策の目指すべき方向と取り組み方について、事例や脅威動向などを取り上げながら、短期および中長期の視点で議論しました。

※    パネルディスカッションは非公開で行われたため、イベントレポートおよび録画公開はございません。

参加者の声

  • DXが進む中で、どういう観点で考えないといけないかを改めて理解できるいい機会でした。
  • 社内の決裁説明のための良いネタを頂きました。
  • サイバー攻撃への対策は、製造業にとっては製品品質にも関わることで、重要だと認識しています。3段階アプローチを弊社に合う形にアレンジして適用していこうと考えています。
  • テーブル内のディスカッションタイムにより、より有意義な時間となりました。3部構成も適当で、あっという間に時間が過ぎました。
  • とても勉強になりました。又、他社の方とお話できる機会を頂き大変為になりました。