IoT対応の遅れが招く恐怖
IoT(Internet of Things)の普及がグローバルで進んでいる。特にプラント、ガス・水道、工場などのエンジニアリング領域では急拡大している。しかし、日本企業はIoTの取り組みに積極的とは言いがたい。
「IoTの取り組みの遅れにより、無視できない恐怖が待ち受けている」と警鐘を鳴らすのは、NTTコミュニケーションズ 技術開発部 IoTクラウド戦略ユニット 経営企画部 IoT推進室 IoT・エバンジェリストの境野哲氏だ。同氏は「セキュリティ」と「国際競争力」の観点から、IoTに取り組む必要性を訴える。同氏の言う「無視できない恐怖」とは何か、そしてそれを取り払うために日本企業はすべきことは何か。話を聞いた。
――IoTをどのように定義していますか?
全体的な定義は、文字どおり「Thing(モノ)」がネットワークに接続されている状態を指していると思います。
NTTコミュニケーションズ 技術開発部 IoTクラウド戦略ユニット 経営企画部 IoT推進室 IoT・エバンジェリストの境野哲氏
しかし、これでは“幅”が広すぎるので、IoTについて議論する場合には、その“モノ”が民生品なのか、公共インフラなのか 製造機器なのかを明らかにしてから議論するようにしています。
また、「Internet」はオープンなネットワーク網だけでなく、閉域網も含め、相互接続を実現するネットワークであると定義しています。
今は、「IoTとそれ以外」という線引きは難しくなっていると考えます。例えば、街中にあるセンサカメラとそのデータを扱うパソコンは接続されています。これをIoTと定義するかは意見の分かれるところでしょう。
――エンジニアリング領域をコントロールする制御系システムのセキュリティリスクを指摘しています。具体的にどのようなリスクなのでしょうか。
制御系システムは、工場内の製造機械や、製薬/化学工場にあるモーターやバルブといった機器をコントロールするものです。鉄道車両や交通機関の信号システム、金融システムなど、ありとあらゆるシステムを制御しています。
もし、制御システム(ソフトウエア)の脆弱性が原因で、システムが正常に動作しなければ、甚大な事故が発生します。例えば、スマートハウスの制御システムでトラブルが発生すれば、一戸だけでなく接続している周辺地域まで停電する可能性があります。
交通インフラの運用を担うシステムが誤作動した場合には、遮断機が下りなかったり信号機が正常に動作しなかったりして人身事故につながる危険性もあるのです。
日本にはないインシデント報告義務
実は、こうした制御系システムが、情報系のシステムと同じくらいサイバー攻撃のターゲットになっているのです。米国や欧州政府は、サイバーセキュリティインシデントが発生した場合、政府への報告を義務づけています。
その統計を見ると、北米では、電機、自動車、金属といった「クリティカル・マニュファクチャリング」と呼ばれる重要産業でインシデントが数多く発生しています。また、ガス、電気、石油などのエネルギー産業に対する攻撃も急増しています。こうした社会インフラの根幹を支える産業の制御系システムが、サイバー攻撃のターゲットになっているのが現状です。
一方、日本企業の制御系システムに対するサイバー攻撃は、その実態がよく分かっていません。日本では欧米のようにサイバーセキュリティインシデント発生の報告義務がありません。ですから、インシデントが発生しても、その情報が公開されないのです。
――制御系システムへのサイバー攻撃として、過去にはどのような攻撃があったのでしょうか。
制御系システム攻撃の“先駆け”となったのは、2010年に報告された「Stuxnet(スタックスネット) 」です。これは、イランの核施設にあるウランを濃縮する遠心分離機のスピードを制御するシステムをターゲットにしたマルウエアでした。
同施設が所有する遠心分離機の20%が破損したとも言われています。また、2014年12月にはドイツの製鉄所がサイバー攻撃にあい、溶鉱炉が正常にシャットダウンできず、溶鉱炉が廃炉になったという事件がありました。こうした事件は、決して他人事ではありません。