サイバーフィジカルシステムのセキュリティ戦略の策定Gartner Insights Pickup(211)

重要な資産への脅威が高まる中、企業はセキュリティプログラムを拡大し、サイバーフィジカルシステムをカバーする必要がある。

» 2021年06月11日 05時00分 公開
[Susan Moore, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 2021年2月初め、ハッカーが米国フロリダ州の水処理施設のコンピュータシステムに遠隔操作で侵入し、飲用水の水酸化ナトリウム含有量を危険なレベルまで増やそうとした。

 オペレーターが不正侵入に気付いて事なきを得たが、このインシデントは、サイバー世界と物理世界が交差するときに起こり得る危険を示している。こうしたサイバーフィジカルシステムは、これまでセキュリティとリスク管理のリーダーのほとんどが考慮してこなかった新しいリスクをもたらす。

 一般的に、エンタープライズITセキュリティは、適切に把握、管理されている。だが、サイバーフィジカルシステムは、従来のセキュリティアプローチで保護するのは難しい。これらのシステムは、個々のプロセスからエコシステム全体まで情報を処理するだけでなく、物理的な結果を管理し、最適化するからだ。

 Gartnerの最近の調査によると、セキュリティとリスク管理のリーダーは、今後3〜5年間の上位の懸念事項にIoT(モノのインターネット)とサイバーフィジカルシステムを挙げている。

 「サイバーフィジカルシステムはその特性上、エンタープライズITシステムに影響を与えるものとは異なるセキュリティ脅威に直面する」と、Gartnerのアナリストでバイスプレジデントのカテル・ティールマン(Katell Thielemann)氏は語る。

 「通常、サイバーフィジカルシステムは、企業の価値が創造されるオペレーションやミッションクリティカル環境で使用される。そのため、攻撃者がますます狙うようになっている」(ティールマン氏)

サイバーフィジカルシステムのリスクを視野に

 「サイバーフィジカルシステム」という用語には、IoTやスマートシティー、オペレーショナルテクノロジー(OT)とITに融合したシステムといった概念が含まれる。Gartnerは、セキュリティとリスク管理のリーダーに、この幅広い意味の用語を用いてITセキュリティの枠を超えて考え、サイバーフィジカルリスクの全体を幅広くカバーするセキュリティプログラムを策定するよう呼び掛けている。

 Gartnerは2025年までに、公益サービスや資源、製造などの資産集約型企業の50%で、サイバー、フィジカル、サプライチェーンの各セキュリティチームが統合され、CEO(最高経営責任者)直属の最高セキュリティ責任者が統括するようになると予測している。

リスクの現実化

 サイバーフィジカルシステムへの脅威に、例えば内部脅威といった人為的なものも含まれる。2000年に豪州のクイーンズランド州マルーチー市の下水処理システムが、ハッキングの被害に遭った。正社員登用を断られたことを逆恨みした元請負業者の技術者が、SCADA(リモート監視/制御システム)で無線制御されたこのシステムを不正に操作し、80万リットルの汚水を地元の公園に流出させたというものだ。

 近年も、ランサムウェア攻撃を受けて天然ガスパイプラインがダウンしたり、物流会社の配送が滞ったり、鉄鋼生産が中断に追い込まれたりした事例がある。GPSスプーフィングが船舶の航行に影響したり、ハッカーがインターネットに接続された水槽を介して、カジノが運用する賭け金の高いギャンブラーのデータベースにアクセスしたりといったケースもある。

 警戒すべき新たな脅威もある。例えば、「5G」(第5世代移動通信システム)は超高速通信など多くのメリットを提供するが、セキュリティ標準が複雑であり、5Gを狙った標的型攻撃が増えそうだ。他にも新たな脅威として、ドローンやスマートグリッド、自律走行車に固有のリスクなどがある。

サイバーフィジカルシステムのセキュリティ計画

 まず、自社のビジネス戦略を文書化し、自社に固有の技術的成功要因と環境トレンドを見極め、広い観点から、それらに対応するサイバーフィジカルリスクを洗い出す。

 さらに、ビジネスパーソンが理解しやすい言葉を使って、自社のサイバーフィジカルシステムのセキュリティやリスクプロファイル、ビジネス結果を直接関連付けるビジョンステートメントを作成する。

 例えば、電力会社のサイバーフィジカルセキュリティビジョンとして、次のようなものが考えられる。

 「われわれは、処理施設や送電インフラから顧客に至るプロセス全体を通じて、安全で、レジリエントな(回復力の高い)、コンプライアンスに準拠したセキュアなオペレーションを確保することで、信頼性が高く、経済的で高品質な電力サービスを提供する」

 次に、従来の戦略計画プロセスに従って、ビジョンを行動に落とし込む。

 「多くのITサイバーセキュリティの脅威とは異なり、サイバーフィジカルの脅威については懸念が高まっている。単なる迷惑行為から人命の損失まで、影響が広範に及ぶ恐れがあるからだ」(ティールマン氏)

出典:Develop a Security Strategy for Cyber-Physical Systems(Smarter with Gartner)

筆者 Susan Moore

Director, Public Relations


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。