誰が産業用IoTのセキュリティを管理しているのか
これが最初の問題だ。IoTは物理世界とデジタル世界をつなぐものなので、通常の管理の枠には収まらない。組織のコンピュータインフラストラクチャのセキュリティはIT部門が担当することになる(あるいは、少なくともそうあるべき)が、IPに接続する空調設備や、オフィスのドアエントリーシステム、工場の生産ラインのロボットについては、どうだろうか。それらのセキュリティ確保にはコンピュータインフラストラクチャの場合と大きく異なるスキルセットが必要で、IT組織はそれを有していない可能性もある。
産業用IoTは最も大きなリスクのいくつかを引き起こすおそれもある。なぜなら、これらのシステムの多くは、人間による制御をほとんど受けずに稼働し続けるからだ。つまり何らかの異常が発生していても、それを見つけるのはより困難である。そのため、セキュリティプロフェッショナルは警戒を強め、おそらく以前と比べて膨大な数の端末を保護しなければならなくなる。調査会社のForresterは、「ネットワークセグメンテーションやアプリケーションセキュリティ評価、基本的な端末管理などの従来のセキュリティモデルおよびコントロールは、IoTの規模と複雑さの重圧に耐えきれず、崩壊してしまうだろう」と警告する。
多くの場合、それらのシステムを運用するのはオフィス施設チームやエンジニアリングチームだが、これらのチームはITセキュリティを最優先事項と考えないかもしれない(To-Doリストにない可能性さえある)。
インターネットに接続することが可能だからといって、必ずしもそうする必要はない。産業用IoTに関して問うべき根本的なことの1つは、そもそもなぜ何かをオンラインに接続する必要があるのか、そしてどの程度のアクセス権が適切なのかということだ。これらは定量化すべきリスクで、組織の上層部、おそらく最高情報責任者(CIO)や最高財務責任者(CFO)がそれらのリスクを管理する必要がある。英政府は「Security for Industrial Control Systems」(ICSのセキュリティ)と呼ばれる枠組みで、この分野のベストプラクティスのいくつかを提示している。
基本的なセキュリティが大きな効果を発揮する
ICSには、さまざまなものがあるが、セキュリティの基本は従来と同じだ。つまり、システムにパッチを適用して、最新の状態を維持することが大切である。ここで厄介なのは、多くの制御システムがインターネットの登場前に設計されたものである(設置されたものである可能性も高い)ことだ。アップグレードは、たとえ可能であるとしても困難である。つまり、ネットワークアクセスを可能な限りロックダウンすることが優先事項になる。これらのシステムへのアクセス権限を持つユーザーとアクセス方法を把握することが、セキュリティ確保の鍵になる。なぜなら、それらのシステムは、企業のVPNや不適切に設定されたファイアウォール、さらにはデータベースリンクを通して、無防備な状態になる可能性もあるからだ。
