IoTセキュリティに関する第2回では、IoTデバイスの開発、設計から量産などの製造および作業プロセスのセキュリティについて述べる。
前回は、IoTを展開し成功へと導くには、エコシステム内の個々の脆弱ポイントのセキュリティを確保するための十分なプランと設計が必要であることを述べた。コネクテッドデバイスや収集するデータの種類と範囲の広さは、まさに想像を超えている。
この状況をさらに複雑にしているのが、いまやこれらのデバイスとデータがオンプレミス、仮想サーバ、クラウドなどあらゆる場所に存在しているという状況だ。また、新しい通信技術の利用によって、機密データが従来のオフィスや自宅の壁を越えて広がるようになってきている。
サイバー犯罪者にとって、すでに製造業界は格好の標的であり、2015年にVerizonが実施したデータへの不正アクセスに関する調査レポートでは、最も狙われる可能性が高い業界の第3位となっている。
製造業界がサイバー攻撃の新たなターゲットとなったわけではなく、これまでとはタイプが異なる攻撃にさらされているのだ。他国の資産に関する機密情報を狙っている国家レベルのスパイから、知的財産を盗み出して転売したり恐喝のネタにしたりしようとしている組織犯罪、また脆弱性を指摘するためのハッカーによる不正アクセスまで、製造業界はますます高度化していくサイバー攻撃に狙われるだろう。
今日メーカーは、部品の調達や組み立て、流通、保守管理の過程で、幅広く分散している外注先やパートナーと密接に連携している。現代のエコシステムでは、原材料だけではなく知的財産やソースコード、バイナリコード、特許、製品デザイン、市場調査、顧客情報、事業計画、他の資源といった膨大な量の機密情報もタイムリーに提供することが求められる。
このような分散型のサプライチェーンモデルには、高い俊敏性と利益の向上といったメリットがある一方で、エコシステム全体をターゲットとする広範で潜在的な脆弱性も生み出した。
これまで、一般的に脅威は脆弱性を突くことであったが、これからは知的財産を狙ったり妨害行為や事業の損失といった目的を持って行われたりする高度な攻撃によって、より影響力が強い破壊的な脅威へと変わっていくであろう。2014年にKaspersky Labが実施した調査によると 、2013年はメーカーの5社に1社が不正アクセスによって知的財産を失っているということが分かっている。
メーカーがグローバルで競争力を保ち続けることができる製造のアウトソーシングモデルは、今後も引き続き残るだろう。多くのメーカーの最大の過ち、それはセキュリティを後付け的な対象として捉えていることだ。
また、かなり昔に設置された製造プロセスが非常に多く存在し、これらのプロセスのレガシーシステムは適切なセキュリティ対策がない状態で外部のゲートウェイとやり取りをしている。このように不正アクセスが進化し、さらにオンライン環境にあるデバイスの数がますます増加している現在、セキュリティ対策は全体的に多層型のアプローチで考えるべきであり、事後対応的の対応では間に合わない。
