Special
» 2017年08月08日 10時00分 UPDATE

シスコが提案する包括的対策とは:通信サービス事業者がIoTセキュリティで大きな役割を果たす理由

多くの企業は今、IoT(Internet of Things)に取り組まざるを得ない。問題は、IoTセキュリティに関するノウハウや標準が整備されていないことにある。そこで、通信サービス事業者が、IoTセキュリティのベストプラクティスに基づく支援を提供できれば、各企業のIoTへの取り組みが加速できる可能性がある。では、通信サービス事業者は、具体的にどのような支援ができるのだろうか。シスコの提案をお伝えする。

[PR/@IT]
PR

 「IoTでは、『プライベートネットワーク内にある』、あるいは『通信を暗号化している』といった理由で対策が済んでいるとの考えがありますが、それだけでは不十分であることを理解していただきたいと考えています」と、シスコシステムズ(以下、シスコ) セキュリティ事業 グローバルサービスプロバイダ−担当 コンサルティングシステムズエンジニア 村上英樹氏は話す。IoTセキュリティの改善において、通信サービス事業者が果たす役割は大きいと言う。

 シスコとともにForrester Consultingが実施したIoTに関する調査によると、さまざまな機器や端末をネットワークに接続し、社内活用、あるいはサービスとして提供するといった意味でのIoTの導入率は、産業分野によって異なるものの、29〜38%に上る。IoT導入済みの企業のうち、何らかのセキュリティ侵害を経験したところは28〜47%に達している。

 この調査にはもう1つ、注目すべき点がある。「IoTに関するセキュリティ対策についての支援を、誰に求めたいか」の問いに対し、「ITインフラプロバイダー」との回答が50%に達し、セキュリティソリューションベンダーの47%を抑えて最多だったことである。「ITインフラプロバイダー」という回答の大部分は、通信サービス事業者を指していると考えられる。僅差ながらセキュリティソリューションベンダーよりも高い支持を得ているという事実は、IoTのセキュリティがこれまでのITセキュリティと異なるということを、回答企業の多くが感じ取っているからだと解釈できる。

 冒頭における村上氏の、「通信サービス事業者が果たす役割は大きい」という発言は、これにつながる。コネクテッドホームなど、“モノ”がつながるIoTは、誰にとっても未知の領域といえ、特にセキュリティに関してはノウハウが確立していないため、手探りで進めるしかないと感じている企業は多い。これらの企業がネットワークサービスで信頼している通信サービス事業者に、何らかの支援を期待したくなるのは自然だとも言える。

 言い換えれば、通信サービス事業者(一部のクラウドサービス事業者にも当てはまる)は、自社のIoT接続サービスやIoT運用支援サービス、あるいはIoTプラットフォームサービスに、セキュリティという付加価値を提供することができる。

 上記の調査には表れていないが、セキュリティ上の懸念から、IoTに踏み込めない企業も多いはずだ。通信サービス事業者がこうした企業に対し、IoTセキュリティのベストプラクティスに基づく支援を提供できれば、各企業のIoTへの取り組みが加速できる可能性がある。

ITとOTのセキュリティは確かに異なる

 OT(Operational Technology)とITは、セキュリティの観点で、次のように異なる背景が存在する。

  • 接続されるOT機器のライフサイクルは 、IT機器に比べて大幅に長い
  • ITのように標準的なプラットフォームが存在せず、リソースが限られるため、OT機器では、付加的セキュリティ対策、ソフトウェアメンテナンスが難しい
  • OT機器は、利便性と可用性が最重要視され、何らかの問題が発生したとしても、止められないサービスが多い
  • IT機器と比較しOT機器は脆弱性が発見された場合、迅速な修正が難しい

 総じて、セキュリティに関しては、産業機械などの場合には例えば「ファイアウォールで守られた社内ネットワーク上にあるため安全」、宅内設置のコンシューマー機器の場合は例えば「サービスとの間の通信を暗号化しているため安全」といった、シンプルな考え方で見切り発車しがちだ。

シスコ サービスプロバイダー事業 ソリューション アーキテクト 木村滋氏

 例として、シスコ サービスプロバイダー事業 ソリューション アーキテクト 木村滋氏は、シスコのセキュリティリサーチ組織Talosが発見した家庭用スマートサーモスタットのケースを説明する。

 これは、スマートフォンやタブレットからWiFi経由で空調の温度設定ができる温度センサーデバイス。SSH(Secure Shell)のユーザクレデンシャルがハードコードされており、このSSHサービスにネットワーク経由でアクセス可能だったため、特権アクセスができる状態だった。また、任意のコードを実行できるリモート・バッファ・オーバーフローの脆弱性も見つかった。

 Talosは2014年4月にこれらの問題を発見して製品メーカーに通告し、その後も再三連絡したが、同メーカーがSSHの問題を修正したのは2015年4月、バッファ・オーバーフローの問題を修正したのは2016年1月だったという。ICT市場ソフトウェアベンダーの対応と比較し、IoTデバイスメーカーの開発ライフサイクル、セキュリティ修正の現状について再確認できた事象と言える。

 こうした現状を変えるにはどうすればいいのか。IoTセキュリティにおいて市場で認知される標準が整備されていないことが最大の問題だとする意見もある。「ただし、例えば産業用オートメーションおよび制御システムに関しては、『ISA99/Purdue Model』があり、セキュリティのベストプラクティスや評価基準を定めています。他分野のOTに関しても、こうしたセキュリティモデルを参考にすることができます」と、木村氏は言う。

IoTのセキュリティ、どう守ればいいのか

 では、IoTセキュリティに関しては手探りの企業、そしてこうした企業を支援したい通信サービス事業者は、シスコにどんな具体策を期待できるのか。

 シスコは、IoT向けの包括的なネットワーク/セキュリティ製品群を提供している。加えてホワイトペーパーやソリューションを通じ、ベストプラクティスの普及を図っている。最も重要なことは、ポイントソリューションに陥らないことであり、ISA99に示されているように、常に全体像を考えながら、多角的な対策を継続していくことが重要だ。

 シスコには、IoT特有の課題を克服できる、ユニークなセキュリティ製品も多い。以下ではまず、こうしたユニークな製品の例を紹介する。

Cisco Umbrella

 最も分かりやすいのは「Cisco Umbrella」だろう。

 これはTCP/IP通信で不可欠なプロセスであるDNS(Domain Name System)を利用したセキュリティサービスである。Cisco UmbrellaをリカーシブDNSサーバとして設定することによって、端末からの任意の宛先との通信を許可あるいは遮断できる。

 シスコのセキュリティ解析チームTalosでは、不正な活動をしているホストを常時トラッキング、データベースをリアルタイムで更新している。Cisco Umbrellaではこうした最新の調査情報を即座に反映したセキュリティサービスを提供。IoT端末が、不正な活動をしている疑いのあるホストに接続しようとすると、DNSによりこれをブロックする。

 マルウェア感染した端末は、必ずC&C(Command and Control)サーバへのコールバックを行う。これをブロックすれば、不幸にして感染があっても、拡大を確実に防ぐことが可能だ。

Cisco Umbrellaは、セキュリティソフトウェアをインストールできないIoTデバイスにもネットワークセキュリティを提供する

 Cisco Umbrellaは一般的なPCのセキュリティ対策に広く使われるサービスだが、IoTでは特に有用性が高い。なぜなら、IoTでは端末のファームウェアやOSに脆弱性が発見されても、即座に修正できないケースが多い。また、前述の通り、サービスを停止するわけにいかないこともある。こうした場合にも、一定の防御策として利用できるからだ。

 常に最新の情報に基づく機能がサービスとして提供され、端末自体へのソフトウェアインストールなしに活用できる。また、既に導入されているIoT端末にも、配布するDNS情報を変更するだけで適用可能だ。Cisco Umbrellaは、Web、電子メールなどアプリケーションの限定がなく、幅広いIoT機器で即座に利用できる、

Cisco Firepower Next Generation Firewall(NGFW)

 第2に、「Cisco Firepower NGFW」を挙げたい。

 Cisco Firepower NGFWは脅威検出にフォーカスした次世代ファイアウォール兼IPS(Intrusion Prevention System)である。マルウェア対策機能が充実しており、攻撃前、攻撃中、攻撃後の全段階における対策を可能にする。マルウェアを可視化し、イベントの相関分析から侵入の痕跡をたどることで、万が一侵入を受けた際にも、被害の封じ込めができる。また、WindowsやLinuxなどのエンベデットなIoT機器の脆弱性に対しても、Snortのシグネチャで対応できるメリットがある。

 Cisco Firepower NGFWはITネットワーク内で幅広く活用されている製品であるが、各種のOTプロトコルに対応し、コマンドレベルの制御、検出を可能にするエンジンを実装している。具体的には、Ethernet/IP、DNP3、 BACnet、Modbusなど18のプロトコルに対応、通信の可視化と対策を実行する。

 Cisco Firepower NGFWは、ソフトウェアとしてさまざまな機器に搭載されて提供されている。専用アプライアンスの他、シスコのネットワーク製品ASAシリーズに搭載した「Cisco ASA with FirePOWER Services」もある。

 IoTの観点では、「Cisco Industrial Security Appliance 3000 Series」もある。これはコンパクトで、厳しい環境下でも動作する堅牢性を備えたNext-Gen Firewallアプライアンスである。

Cisco Firepower NGFWは、さまざまな機器に搭載されていて、IoTにも活用しやすい

Cisco TrustSec

 もう1つ紹介したいのは「Cisco TrustSec」だ。これはネットワークをきめ細かく論理分割し、端末あるいはユーザーの接続を、アイデンティティ、検出されたデバイスプロファイルに基づいて振り分けるアクセスコントロール技術である。メリットは、個々の端末に対してグループベースのACL(アクセス制御リスト)を作成し、メンテナンスと運用負荷を大幅に減少できる点である。

 従来はVLANを使ってネットワークの論理分割を行ってきた。だがVLANには「4096の壁」があり、今後想定されるIoTデバイスの展開規模、スケールには対応できない。また、VLANはネットワークトポロジーに依存するとともに、設定変更が容易にできない。Cisco TrustSecではこうした欠点を補い、ネットワークトポロジーから独立したきめ細かなネットワーク分割ができ、多数の端末を対象としたアクセス管理が容易に行える。

IoTセキュリティは「個々の製品機能」だけでは支えられない

 上記をはじめとする、製品それぞれの機能だけでは、十分な防御ができない側面があることを、シスコはもちろん理解している。より全体的なアプローチとして、産業分野別にデザインガイドやホワイトペーパーを発行、ベストプラクティスの普及に努めている。

シスコ セキュリティ事業 グローバルサービスプロバイダ−担当 コンサルティングシステムズエンジニア 村上英樹氏

 産業制御システムを例にとると、「Converged Plantwide Ethernet Industrial DMZ(Demilitarized Zone)」がある。これは工場などを想定したRockwell社とのジョイント推奨アーキテクチャだ。この中で「Industrial DMZ(IDMZ)」、すなわち産業ゾーンと企業ゾーンの間に産業用非武装地帯を設けることをIoTセキュリティの1つのキーとして触れている。

 「それぞれからのネットワーク通信は、IDMZで必ず終端させ、産業ゾーンと企業ゾーンの間の直接的または共通プロトコルによる通信は許さない、ログデータ等の一時データの送信の場合、IDMZに配置させたプロキシ等を必ず通し、データの保存を排除する。産業ゾーンの機器の制御については、例えばIDMZ内で動かす仮想デスクトップを経由することを推奨しています」と木村氏は言う。

 さらに、IDMZ内でCisco Firepower NGFWのような製品を動かすことで、マルウェアなどによる被害のリスクをさらに減らせる。

 シスコは、上記のようなIT/OT環境のセグメント化をはじめとした具体的な対策を、図に示されている通り4つに分類、「Cisco IoT Threat Defence」として製品やソリューションを体系化している。4つとは、「可視化と分析」「セグメント化を活用したアクセス制御」「セキュアなリモートアクセス」「IoTセキュリティサービス」だ。これらを通じて、IoTを推進する企業や、こうした企業を支援する事業者を底から支えている。

Cisco IoT Threat Defenceでは、IoTセキュリティの要素と、製品・サービスを体系化している

 最後に、シスコがIoTセキュリティについて通信サービス事業者に伝えたいメッセージは以下の通りだ。

 周知の通り、サイバー攻撃は高度化を続けている。IoTにおける防御策は限定されがちであり、個別性と専門性が高いケースもあるため、ITに比べてセキュリティの確保が全般的に困難と言える。また、自社のITセキュリティプロフェッショナルだけで、この分野にて包括的に顧客を支えるのは難しいかもしれない。

 そこで 、さまざまな形でのコラボレーションとインテリジェンス情報の活用を検討してほしい。各種業界団体やセキュリティコミュニティと連携し、ベストプラクティスを探っていく努力が求められる。また、ますます情報戦の様相を帯びるサイバーセキュリティの世界で有利な立場を維持するためには、いわゆる「インテリジェンス」、つまり最新の先端的な情報を常に活用できるようにしておく必要がある。

 IoTセキュリティは、誰にとっても対策が難しいが、誰かが先頭を切ってやらなければならない。そして通信サービス事業者は、それができる素地を持っている。2020年の東京オリンピックは、初めてIoTが広範に利用されるオリンピックと言われているが、これに備えるという意味でも、通信サービス事業者の果たす役割は大きいと言える。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:シスコシステムズ合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年9月7日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。