IoT(Internet of Things)によってさまざまなモノや人がつながっていくことで、私たちの社会やビジネスもデジタルの時代へ大きくシフトし、新たな価値が生み出されています。その反面、重要な社会インフラを機能不全に陥れるサイバー攻撃など、企業の存続を脅かすような重大な事案も相次いで起こっています。このセキュリティリスクに対して、日立では社会インフラ事業者をはじめ、多くの組織との協創を進めることで、安全・安心な社会システムやビジネスをサポートしています。その考え方や実例をセキュリティ事業統括本部 副統括本部長の宮尾 健がご紹介します。
電力、通信、ガス、水道、鉄道をはじめ金融、医療など私たちの暮らしやビジネスに欠かせない社会インフラ。産業や生活を支える重要基盤は24時間365日停止することなく動き続けています。その社会インフラが、ある日突然止まってしまう――。にわかには信じ難い出来事が現実に起こり始めています。
原因は社会インフラを狙ったサイバー攻撃の台頭です。中でも深刻なのが、特定のターゲットに執拗に攻撃を繰り返す「標的型サイバー攻撃」。その手口は非常に巧妙で、これまでのウイルス対策は通用しないケースも急増しています。ひとたび感染すれば遠隔で操作が可能になり、攻撃者の好き勝手に振る舞われてしまいます。
この攻撃により、国際的にはテロに近い事象も報告されています。2015年12月にウクライナで発生した電力供給会社のケースはその典型。140万世帯で6時間にわたる大規模停電が発生し、市民生活を大混乱に陥れました。
サイバー攻撃は企業経営にも甚大なダメージをもたらします。米国の大手小売業ターゲット社では店舗のPOS端末がマルウェアに感染し、4,000万人分のクレジットカード利用データと7,000万人分の顧客情報が流出。巨額の賠償金を支払うことになったほか、売上や株価も低迷し、責任問題からCEOが解任されてしまったのです。
それでは、なぜこうした被害が多発するのでしょうか。その背景には、インターネットをはじめとするITの進化があります。以前は社会インフラを支える制御システムは独立した環境で運用するケースが多かった。しかし現在は、独立した環境ではなく、周辺装置を介して間接的にインターネットにつながる環境を構築するケースが増えつつあるのです。制御システムがネットワークにつながれば、その恩恵はグローバルに広がります。集中的な管理も可能になり、運用も効率化するからです。
攻撃自体も質的に変化しています。十年前までは自分の技術力を誇示したいハッカーによる愉快犯的なものがほとんど。PCに不具合を引き起こすなど被害も比較的軽微なものでした。しかし現在は攻撃が組織化され、狙いも社会生活に混乱を招いたり、情報や金銭の詐取を目的としたものに変わってきています。さまざまな攻撃ツールも地下マーケットに出回っており、必要最小限のコストで攻撃可能な環境を整えられます。成功すれば見返りが大きいため、攻撃側のモチベーションは非常に高いのです。
守る側にも課題があります。セキュリティは「何をどこまでやればいいのか」という判断が難しい上、攻撃は手を替え品を替え繰り返されます。守る側は相手の手の内がわからないため、さまざまな対策が必要になる。つまり、サイバーセキュリティは、攻撃側が圧倒的に有利な状況にあるのです。そうした中で"ツギハギ"の対策を進めていくと、どこかに盲点が生まれてしまい、攻撃側はそこを見逃しません。
セキュリティ対策で大切なことは、全体を俯瞰するグランドデザインを描くこと。その上で、守りを固めるために必要なシステムを整備し、継続的な監視と対策を行うことです。万が一のリスクの発生に備え、業務の継続と復旧を図る組織体制の整備も欠かせません。これを包括的にサポートするのが、日立の考えるセキュリティ対策です。
最大の強みは「H-ARC」というコンセプトに基づき「組織で守る」「システムで守る」「運用で守る」という"三位一体"の取り組みを実現できること。
H:Hardening
A:Adaptive
R:Responsive
C:Cooperative
日立グループのセキュリティ運用ノウハウに加え、お客さまとパートナーとの「協創」による価値創出が強み。サイバー攻撃の技術進歩や最新の規制・ガイドラインなどの環境変化に対応し「組織」「システム」「運用」で守る包括的な対策を実現する
まずシステム面では最先端の攻撃手法を考慮し、経営や現場業務まで含めて国際標準に基づいたセキュリティコンサルティングやリスクアセスメントを実施。ネットワークを介したサイバー攻撃の監視・対策に加え、内部犯による不正操作を想定した物理セキュリティ対策まで含めた最適なシステムを設計・構築します。
組織面では守りのエキスパートとなるセキュリティ人材の育成と配置、情報の共有と連携のスキームづくり、経営視点のリスク管理や現場業務のオペレーション最適化まで踏まえた体制設計を支援します。システム、業務、サービスへの影響も含めて組織内の弱点を知り、その弱点を埋めていく方法論をお客さまとともに考えていきます。
さらに運用面では約30万人におよぶ日立グループのセキュリティ運用に基づく知見とノウハウを活かし、効果的な運用ルールの設計と定着を支援します。自前での運用が難しい場合はリスクの監視と管理、定期的なログ解析、有事の際の駆け付け対応や復旧作業を支援するサービスも提供。日立の強みの一つはグローバルレベルで多くのサポート拠点を持っていること。この拠点が中心となって対応にあたるため、お客さまの身近なところから迅速なサポートが可能です。
この"三位一体"の強みを活かし、攻撃スキルレベルに応じた多様な防御対策や運用施策を組み合わせた「多層防御」を実現。攻撃に強い社会インフラづくりを強力に支援しています。
攻撃スキルレベルに応じたサイバーセキュリティ対策、物理セキュリティ対策に加え、その運用施策の最適化を支援する多重防御により、攻撃に強い社会インフラの実現に貢献する
こうした取り組みが可能なのは、日立が長年にわたりグローバルレベルで社会インフラの納入実績を持ち、その運用までトータルにサポートしているから。日本だけでなく世界各国で発電所のインフラやガス会社のプラント、鉄道会社の運行管理システムなどの構築・運用を数多く担っています。その中で業界特有の課題、多様なお客さまの業務知識を習得し、スキルとして体系化してきました。お客さまのシステムや業務をわかっているから、最適なセキュリティ設計が可能なのです。
守りの技術にも一日の長があります。日立では1998年に「HIRT(日立インシデントレスポンスチーム)」を創設。インターネット黎明期からサイバーセキュリティの重要性を認識し、ウイルスやマルウェアの検知・分析に取り組んでいます。その経験値を惜しみなくお客さまに提供します。さらにビッグデータやAI(人工知能)など日立が持つITとセキュリティ技術との融合も推進。将来的にはデータに基づく未知の脅威の検知、先手を打った対策の自動化などが可能になるでしょう。
お客さまやパートナーとの「協創」が生み出す価値も大きな強みです。セキュリティ設計に関しては、お客さまのニーズや要件に真摯に耳を傾け、より最適かつ効果的な対策の実現に努めます。また各分野で強みを持つパートナーとのエコシステムを構築し、システムやサービスを強化・拡充。実際、世界的なセキュリティベンダーと協力し、その知見を最新の脅威の収集・分析に活用しています。
世界的な流れと歩調を合わせた取り組みも進めています。国際電気標準会議(IEC*)が取り組む産業用オートメーションおよび制御システムを対象としたサイバーセキュリティのマネジメントシステム(CSMS)に準拠したリスクアセスメントサービスはその1つ。2015年1月に日本で施行された「サイバーセキュリティ基本法」の要件を満たす対策も支援しています。また日立の技術や知見を活かし、経済産業省の「サイバーセキュリティ経営ガイドライン」の策定に協力するなど、大局的な視点に立った活動も行っています。
日立が提供するのは、全体を俯瞰したグランドデザインに基づく課題解決のソリューション。単体の製品やサービスだけでは実現できない大きな価値を提供します。
実績も豊富にあり、多くの社会インフラのセキュリティ対策に貢献しています。バリューチェーン全体を俯瞰した国内発電所のセキュリティ対策はその1つ。コンサルティングとリスクアセスメントをもとにサイバーセキュリティ対策と物理(フィジカル)セキュリティ対策を実施しています。具体的にはサイバーとフィジカルセキュリティを融合し、攻撃に対する"ゲート"を多層化することで、システムに侵入されるリスクを極小化。また、リスクの監視・検知・解析・対策まで含めた運用サービスを実現し、制御システムを確実に保護するセキュリティポリシーを確立しました。これにより、マネジメントシステムを構築し、インフラの安全性が大幅に向上しています。
海外ではアジア地域において、映像監視システムによる施設管理のトライアルが進行中です。物理セキュリティを足掛かりにサイバーセキュリティの整備につなげていき、包括的なリスク対策をサポートしていく考えです。
IoT時代に入り、様々なシステムが広域化・進化を続ける一方、社会インフラや企業の重要システムを狙うサイバー攻撃の脅威も今後ますます高まっていきます。"つながる"社会の中で、サイバー攻撃のリスクとどう対峙していくか――。多くの社会インフラシステムの構築・運用実績を持つ日立はその経験と知見を活かし、お客さまの事業活動を支え、社会インフラ事業者をはじめ、多くの組織との協創を進めることで、社会インフラシステムの「安全・安心」を実現していきます。
公開日: 2016年6月
