「CodenomiCON」に見た海の向こうのセキュリティ、日本との違い：セキュリティ・アディッショナルタイム（13）（2/2 ページ）

サプライチェーンも含めたセキュリティの管理が不可欠に

　CodenomiCONで行われた別のパネルディスカッション「The Digital Doctors Are In - Are You Covered ?」でも、米WhiteScopeの創業者兼セキュリティリサーチャーのビリー・ライオス（Billy Rios）氏が、「脆弱性の存在はどうしてもなくすことができない。それを前提に、オペレーションを継続できるよう管理していく必要がある」と述べた。このパネルディスカッションは、病院で利用される医療機器のセキュリティ問題をテーマにしたもので、以下のような課題がパネリストによって指摘された。

• 古いプラットフォームの脆弱性を狙ったランサムウェアによって実害が生じている
• 最近になって、初めからセキュリティを考慮した医療機器の開発が始まりつつあるが、既に現場で使われている機器には、パッチを適用したりバージョンアップしたりする術がない

　こうしたリスクがある中で、病院のオペレーション、つまり医療活動を安全に継続するためには、メーカーがセキュアなエンジニアリングに努力し、透明性を確保つつセキュアな機器を提供するのと同時に、医療機関側もオペレーション継続のためのセキュリティを検討していかなくてはならないといった意見が出されていた。

　また、ソフトウェアを一種の「製品」として捉えた場合、そこには多数の部品――サードパーティーが提供するライブラリやオープンソースソフトウェア（OSS）など――が含まれている。そうした部品に脆弱性があれば、ソフトウェアやそれが動作するデバイス、システム全体にも影響が生じかねない。IoTにせよ車にせよ、サードパーティーも含めたソフトウェアサプライチェーンのセキュリティに依存する状態になっているのだ。

　「Mitigating Software Supply Chain Risks - Gaining Trust of Software in Cyber Assets」と題するパネルディスカッションでは、このようなソフトウェアの調達に関するリスクが議論された。米防衛省のLifecycle Risk Management & Cybersecurity/Acquisition Integration Division、ドン・デビッドソン氏は、「調達においては納期を守るといった伝統的なロジスティクスだけでなく、それが一定のセキュリティや完全性を満たしているかといった観点も求められる」と述べた。また、調達先がグローバルに広がっている今、ソフトウェア調達先の選定においては、デューデリジェンスのデジタル版が求められる可能性もあるという。

　日本のセキュリティ研究者で、重要インフラセキュリティプロジェクトに携わる大崎人士氏（産業技術総合研究所）は、日本の製造業が効率を追求し、長年にわたって「カンバン方式」や「JIT」といった調達システムを構築してきたことに言及した上で、「今後はソフトウェア業界においても調達にフォーカスしていく必要がある」と述べ、日本においてはその文脈で、重要インフラのセキュリティアセスメントプログラムが進んでいるが、「東日本大震災では、通信インフラの障害によって、ガスなどのエネルギー供給に影響が生じた。インフラの相互依存性を考慮した上で検討していく必要がある」と指摘した。

“スーツとTシャツの短い距離感”と、戦略的な取り組み

　CodenomiCONの各セッションではまた、「官」と「民」の連携の重要性が度々訴えられた。

　「過去にはボットネットのテイクダウン作戦などが展開されてきたが、サイバーセキュリティの確保には、政府だけでなく民間やコミュニティーの継続的な参加が必要だ」（デンボスキー氏）、「自社・自組織だけでなくエコシステム全体を見る視点が求められる。特に医療機器の場合は、人命に関わってくるため、政府や法規制といった要素も含め、各方面からの取り組みが必要だ」（Philips Healthcare Global Product Security and Services Officer マイケル・マクネリ氏）

　官民連携においては、セキュリティ研究者、セキュリティコミュニティーが一定の役割を果たすことが期待されている。特に脆弱性情報の共有においては、さまざまな機器を調査してセキュリティ上の問題を指摘する研究者が果たす役割は大きい。一方で、「レガシーなプラットフォームを使い続けざるを得ない環境もある中、不用意な情報公開は人命に関わる恐れもあり、社会的責任を考えながらリスクを緩和する方法を考えるべきだ」とする指摘もあった。

　IoTなどの新たな領域で脆弱性情報を受け取ったらどのように対処すべきか、どのタイミングで、誰が、どのように脆弱性情報を公開すべきかといった適切な情報共有・流通体制の確立については、今も試行錯誤が続いている。そもそも従来のITの世界においても、脆弱性情報の流通体制が機能し始めるまでには、長年にわたる模索と信頼関係の確立を待つ必要があった。

　医療機器のセキュリティをテーマとしたパネルディスカッションの中では、米FDAが、医療機器の脆弱性に関する情報を収集し、ベンダーと調整した上で対処したり、適切に情報公開したりするための枠組み作りに着手しており、幾つかのメーカーが賛同していることが紹介された。同じく自動車のセキュリティをテーマとしたセッション「Automotive Cybersecurity - Industry Taking a Leadership Role」でも、Automotive Information Sharing and Analysis Center（Auto-ISAC）の取り組みが紹介され、車のセキュリティを脅かす脅威情報の収集・解析やナレッジ共有など、脆弱性情報共有の枠組みをめぐり前進の兆しがあることがうかがえた。

　ところで、こうしたCodenomiCONの一連のパネルディスカッションを日本人の目で見たとき、米国のセキュリティコミュニティーの層の厚さと、他のセクタとの距離の近さを感じる。スーツを着た「官」と、Tシャツ姿の「民」がざっくばらんに話し合える空気が印象的だ。

最後のセッション「A Gathering of the Superstars of Security Research」には、著名なセキュリティ研究者が集まった。アルコールも入りやや“カオス”な状態になりつつも、「セキュリティコミュニティーはしっかりその役割を果たすべき」といった真面目な提言が行われていた

　だが、それでもなお「人材不足は大きな課題。特にICSの分野では問題が顕著」（デンボスキー氏）というのが現状だ。

　この問題を解決する即効薬はなく、やはり「教育やトレーニングに尽きる」と各パネリストは述べている。また、「過去30年にわたってIT業界で蓄積されてきた適切な手順や、セキュアなソフトウェアを開発するためのベストプラクティスを活用すべきだ」というコメントもあちこちで見られた。

　ただ、米国流がひと味違うのは、こうした取り組みを進めるに当たって「人間が頑張りましょう」だけで終わらないところだ。そもそも、あらゆる機器がソフトウェアに依存し、コードの絶対量が増加している今、人手でそれら全てをチェックし、適切にセキュリティを織り込んでいくのは限界がある。「全て人手でやるのは非現実的。セキュリティのベストプラクティスをツールに反映し、プロセスの中に取り込むなど、できるところは自動化すべき」という趣旨のコメントが、複数のパネリストから聞かれた。

　もう1点、米国がしたたかなのは、ツールに反映すべき「標準」の策定を戦略的に進めていることだ。医療業界ではFDAが、車業界ではSAEが、脆弱性を試験してセキュリティを確保するための標準作りを進めている。さらに、「ソフトウェアがその標準に準拠しているかどうかをテストするための標準を策定する」というところまで戦略を立てて取り組んでいる。ただ「セキュリティは大切だ」と訴えるだけで終わらせないすごみがある——ここにもう1つ、彼我の大きな差を感じた。