連日の「深刻な脆弱性」の報道から何を得て、情報をいかに咀嚼していくべきなのか(2/3 ページ)
連日のように公開される脆弱性情報の中から自分たちに関係するものを見つけ、適切な優先順位で対応するのは容易ではない。この状況に、企業はどう向き合えばよいのだろうか? @ITが、2017年8月30日に開催したセミナー『連日の「深刻な脆弱性」どう向き合い、どう対応するか』のレポート、後編をお届けする。
「カイゼン」に不可欠なデジタル化を支える「セキュリティ」、GEの実践とは
GEデジタルでインダストリアル インターネット推進本部 プラットフォーム・OTセキュリティ 事業開発部長を務めるトリワイ・チョンチャナ氏は、「工場・産業制御システムにおける脆弱性対策――OTセキュリティ防御の観点」と題する特別講演を通じて、OT(Operational Technology)の世界で起こりつつある変革と、その中でセキュリティが果たすべき役割を解説した。
「インダストリアルインターネット」というビジョンを掲げ、さまざまな産業機器やセンサーからネットワークを介して収集したデータを最先端のソフトウェアで解析し、その結果を現場で働く人々や設計にフィードバックすることで、より高度なサービス、より高い生産性を実現しようと試みているゼネラル・エレクトリック(GE)。チョンチャナ氏によると、このビジョンの背後には、「生産性や業務効率の向上に向けてできることは、アナログの世界ではやり尽くした。これ以上伸ばしていくには、『デジタルの力』が不可欠だ」という考え方があるという。
GEでは工場の中はもちろん、エッジに位置するユーザーやサプライチェーンも含めたライフサイクルにまたがってデータを取得し、そこから得られた知見を設計などにフィードバックすることで、プロセスの最適化を図ろうとしている。世界約400カ所の工場のうち既に70拠点がインターネットにつながっており、今後も全工場に拡大する計画だ。そのための共通基盤「Predix」も提供するなど、産業機器に特化した形でInternet of Things(IoT)推進に取り組んできた。
その中で課題となるのが「セキュリティ」だ。一切インターネットに接続しなければ安全は保てるだろうが、効率の向上は見込めない。「米国やヨーロッパでは、『つながないとこれ以上のカイゼンはできない。だからこそ高度なセキュリティを実現しなくてはならない』という考え方が主流になっている。『Shodan』で検索すると、日本ではつないでいる機器が少ないせいか『真っ暗』な状態だが、日本でもこうした取り組みを進めるべきではないか」(チョンチャナ氏)
では、OTをネットワークにつなぐと、どのような脅威が考えられるだろうか。実は、ウイルス感染によって工場のオペレーションが影響を受けるセキュリティインシデントは、古くは1980年代から発生していた。ただ多くは「Conficker」のようにワーム感染によってITシステムのネットワーク帯域が圧迫され、稼働に影響が生じるという形だったという。「しかしStuxnetの出現によって状況は変わった。OTの脆弱性を突き、物理的な被害をもたらす恐れが出てきた。これを踏まえて『何をしなくてはならないか』という議論が始まった」(チョンチャナ氏)
OTの場合、たとえ脆弱性を修正するためのパッチ適用という形であっても、システムに何らかの変更を加えると停止してしまい、億単位の損害が生じる恐れがある。それだけの損害を引き受け、パッチ適用の責任を取れる人はまずいないが、仮に脆弱性を突かれて何かインシデントが起こっても大規模な被害が生じる。ならば、セキュリティ対策に数千万支払ってもいいと考える会社も増えている。GEもそんなポジティブな会社の1つだ。
では、GEではどんな対策を取っているのだろうか。「OTである以上、何はともあれ機械を止めるわけにはいかない。そこで、入口、前側を固める対策よりも、もっと後ろの部分に目を向けている」とチョンチャナ氏は述べた。
「インシデントが起きてもできるだけ早く対応できるように、自分たちの持っているデバイスがどんなもので、どんな脆弱性があるかを把握すべきだ。また対応の優先度を付けるため、イベントの監視やアセスメントを行うことも推奨している」(チョンチャナ氏)。日本ではしばしば、「エアギャップがあり安全だ」といわれるが、実際にはCDやUSBメモリなどによるデータの授受や解析が行われており、「物理的につながっていないことと、論理的につながってないことがごっちゃにされているのではないか」とも指摘する。
長らく産業機器は「つないでくる人は、皆、良い人」という性善説で作られてきた。それ故か、2010年以降、OTに存在する脆弱性情報は増加の一途をたどっている。
GEでもPLCやSCADA/HMIといった産業機器を提供しているが、「フィールド出荷後はパッチを当ててもらうことは難しいので、出荷前にできるだけテストや診断を行い、問題を修正してから出荷するようにしている」(チョンチャナ氏)。「GEとしてきちんとセキュリティに取り組み、安心して使えることがビジネスドライブのキーになる」という考え方の下、OTに特化した脆弱性診断やファジングを活用しているという。
「外に出したときにお客さまに迷惑が掛からないように診断し、対応し、継続してモニタリングし、セキュアなインダストリアルインターネットを実現していきたい」(チョンチャナ氏)。そのためのノウハウも積極的に提供していきたいという。
関連記事
脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。
「日本型組織」はなぜサイバー攻撃に弱いのか
本稿では、@IT編集部が2017年2月7日に東京で開催した「@ITセキュリティセミナー」レポートをお届けする。
東京五輪からバグハントまで、多様な視点からサイバーセキュリティの“今”を探る
本稿では、@IT編集部が2016年6月23日に東京・青山ダイヤモンドホールで開催した「@ITセキュリティセミナー」レポートの第1弾をお届けする。
Copyright © ITmedia, Inc. All Rights Reserved.